UPDATE: DFN-CERT-2014-1437 Ruby: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2014-1437 Ruby: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (01.12.2014):
Red Hat stellt für verschiedene Red Hat Enterprise Linux 6 und Red Hat
Enterprise Linux 7 Produkte, sowie die jeweilige Red Hat Software
Collections 1 Sicherheitsupdates zur Verfügung, die zusätzlich die
Schwachstelle CVE-2014-8090 adressieren. Für die Red Hat Enterprise Linux
6 Produkte wird die Schwachstelle CVE-2014-4975 nicht benannt.
Version 2 (05.11.2014):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS
und Ubuntu 14.10 Sicherheitsupdates zur Verfügung.
Version 1 (03.11.2014):
Neues Advisory

Betroffene Software:

Ruby < 2.1.4 Betroffene Plattformen: Red Hat Software Collections 1 Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.6.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 21 Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Zustand herbeizuführen. Für Red Hat Fedora 21 wird ein aktualisiertes Paket ruby-2.1.4-24.fc21 zur Verfügung gestellt, um diese Schwachstellen zu beheben. Patch: Fedora Security Update FEDORA-2014-14096 https://admin.fedoraproject.org/updates/FEDORA-2014-14096/ruby-2.1.4-24.fc21

Patch:

Ubuntu Security Notice USN-2397-1

http://www.ubuntu.com/usn/usn-2397-1/

Patch:

Red Hat Security Advisory RHSA-2014:1911

http://rhn.redhat.com/errata/RHSA-2014-1911.html

Patch:

Red Hat Security Advisory RHSA-2014:1912

http://rhn.redhat.com/errata/RHSA-2014-1912.html

Patch:

Red Hat Security Advisory RHSA-2014:1913

https://rhn.redhat.com/errata/RHSA-2014-1913.html

Patch:

Red Hat Security Advisory RHSA-2014:1914

https://rhn.redhat.com/errata/RHSA-2014-1914.html

CVE-2014-8090: Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

Als Fehlerbehebung für die Schwachstelle CVE-2014-8080 (“Billion Laughs”) im
Ruby REXML XML Parser wurde eine Überprüfung für
REXML.entity_expansion_text_limit eingeführt, um Denial-of-Service-Angriffe
durch extremen CPU- und Speicherverbrauch durch Expansion von Parametern in
kleinen XML-Dokumenten zu verhindern. Es hat sich herausgestellt, dass diese
Fehlerbehebung nicht ausreichend war, da die Anzahl der ausgeführten
Expansionen nicht gegen REXML::Document.entity_expansion_limit. geprüft
wurde. Die unbeschränkte rekursive Expansion kann daher weiterhin dazu
führen, dass der gesamte Speicher des Systems aufgebraucht wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen.

CVE-2014-8080: Schwachstelle in Ruby erlaubt REXML-Billion-Laughs-Angriffe
(DoS)

Eine Schwachstelle in Ruby besteht im Module REXML. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er ein
XML-Dokument konstruiert, welches den REXML-Parser dazu bringt, sehr viel
Speicher zu verbrauchen, hier mittels XML-Entitätenexpansion, um
REXML-Billion-Laughs-Angriffe durchzuführen, d.h. einen Denial-of-Service
(DoS)-Zustand herbeizuführen.

CVE-2014-4975: Schwachstelle in Ruby führt zu Speicherüberlauf

Eine Schwachstelle in Ruby führt zu einem “off-by-one”-stapelbasierten
Speicherüberlauf in der Funktion “encodes()”. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
partiellen Denial-of-Service-Zustand zu bewirken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1437/

Fedora Security Update FEDORA-2014-14096:
https://admin.fedoraproject.org/updates/FEDORA-2014-14096/ruby-2.1.4-24.fc21

Schwachstelle CVE-2014-4975 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4975

Schwachstelle CVE-2014-8080 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8080

Ubuntu Security Notice USN-2397-1:
http://www.ubuntu.com/usn/usn-2397-1/

Schwachstelle CVE-2014-8090 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8090

Red Hat Security Advisory RHSA-2014:1911:
http://rhn.redhat.com/errata/RHSA-2014-1911.html

Red Hat Security Advisory RHSA-2014:1912:
http://rhn.redhat.com/errata/RHSA-2014-1912.html

Red Hat Security Advisory RHSA-2014:1913:
https://rhn.redhat.com/errata/RHSA-2014-1913.html

Red Hat Security Advisory RHSA-2014:1914:
https://rhn.redhat.com/errata/RHSA-2014-1914.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben