2022-0809: Ruby: Zwei Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2022-04-12 19:36)

Neues Advisory

Version 2 (2022-04-25 13:50)

Für Fedora 34 und 35 stehen Sicherheitsupdates in Form von 'ruby-3.0.4-152'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben. Das Fedora-Projekt hatte für diese Updates zunächst nur die drei mit dem Ruby 3.0.3 Release behobenen Schwachstellen referenziert (siehe gesonderte Meldung).

Version 3 (2022-04-28 11:04)

Für Fedora 34 und 35 stehen aktualisierte Sicherheitsupdates in Form von 'ruby-3.0.4-153'-Paketen im Status 'testing' bereit, um eine Regression in den vorhergehenden 'ruby-3.0.4-152'-Paketen zu beheben.

Version 4 (2022-06-07 10:19)

Canonical stellt für Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'ruby3.0', 'ruby2.7' bzw. 'ruby2.5' bereit, um die beiden Schwachstellen zu beheben. Weiterhin steht korrespondierend dazu für Ubuntu 16.04 ESM ein Sicherheitsupdate für 'ruby2.3' zur Verfügung, welches die Schwachstelle CVE-2022-28739 adressiert.

Version 5 (2022-09-21 10:07)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.0 (x86_64, aarch64) und Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) sowie Red Hat CodeReady Linux Builder for x86_64 / ARM 64 9 (x86_64, aarch64) und Red Hat Enterprise CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.0 (x86_64, aarch64) stehen Sicherheitsupdates für 'ruby' bereit, um die Schwachstellen zu beheben. Für Oracle Linux 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren oder beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und möglicherweise auch Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller bestätigt die Schwachstellen und stellt die Versionen 2.6.10 und 2.7.6 (nur CVE-2022-28739) sowie 3.0.4 und 3.1.2 zu deren Behebung zur Verfügung.

Schwachstellen:

CVE-2022-28738

Schwachstelle in Ruby ermöglicht u. a. Privilegieneskalation

CVE-2022-28739

Schwachstelle in Ruby ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.