Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 9 (11.06.19):
Red Hat stellt ein Sicherheitsupdate der CloudForms Management Engine 5.10
für CloudForms 4.7 zur Verfügung.
Version 8 (16.05.19):
Red Hat behebt die Schwachstellen CVE-2019-8322 bis CVE-2019-8325 mittels
Sicherheitsupdates für ‘ruby’ für die Red Hat Enterprise Linux Produkte
Server, for ARM, for Scientific Computing, Workstation und Desktop in
Version 7, Server AUS, EUS und TUS sowie EUS HPC Node in Version 7.6.
Korrespondierend stellt Oracle ein Sicherheitsupdate für Oracle Linux 7
(x86_64) zur Verfügung, welches die gleichen Schwachstellen adressiert.
Version 7 (13.05.19):
Für Red Hat Software Collections stehen Sicherheitsupdates für ‘rh-
ruby23-ruby’, ‘rh-ruby24-ruby’ und ‘rh-ruby25-ruby’ bereit, um die
Schwachstellen zu beheben. Damit werden die Pakete ‘rh-ruby24-ruby’ auf
Version 2.4.6 und ‘rh-ruby25-ruby’ auf Version 2.5.5 aktualisiert. Für das
Paket ‘rh-ruby23-ruby’ wird nur die Schwachstelle CVE-2019-8324
referenziert. Die Updates stehen unter anderem für Red Hat Enterprise
Linux (RHEL) Server 6, 7, 7.4, 7.5 und 7.6, für RHEL Server for ARM 7
sowie für RHEL Workstation 6 und 7 zur Verfügung.
Version 6 (02.05.19):
Für Fedora 28 steht ein Sicherheitsupdate in Form des Pakets
‘ruby-2.5.5-108.fc28’ im Status ‘testing’ zur Behebung der Schwachstellen
zur Verfügung.
Version 5 (24.04.19):
Für Fedora 29 steht ein Sicherheitsupdate in Form des Paketes
‘ruby-2.5.5-101.fc29’ im Status ‘testing’ bereit, um die Schwachstellen zu
beheben.
Version 4 (17.04.19):
Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate
für ‘ruby2.3’ zur Verfügung, um die aufgeführten Schwachstellen zu
beheben.
Version 3 (11.04.19):
Canonical stellt für Ubuntu 18.10, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und
Ubuntu 14.04 LTS Sicherheitsupdates für ‘ruby1.9.1’, ‘ruby2.0’, ‘ruby2.3’
und ‘ruby2.5’ bereit.
Version 2 (29.03.19):
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für ‘ruby2.1’ in
Form des Paketes ‘2.1.5-2+deb8u7 bereit.
Version 1 (06.03.19):
Neues Advisory
Ein vermutlich entfernter, nicht authentisierter Angreifer kann mit Hilfe
eines präparierten Gems beliebigen Programmcode ausführen, über das
Einschleusen von Escape-Sequenzen auf verschiedenen Wegen beliebige Befehle
zur Ausführung bringen und durch das Löschen von Verzeichnissen und Dateien
über Symlinks einen Denial-of-Service (DoS)-Angriff durchführen.
Der Hersteller stellt Sicherheitsupdates in Form von Patches für die Ruby
Versionen 2.4.5, 2.5.3 und 2.6.1 zur Behebung der Schwachstellen zur
Verfügung. Ferner verweist der Hersteller auf die RubyGems Versionen 2.7.9
und 3.0.3, in denen die Schwachstellen ebenfalls behoben wurden (siehe
Referenzen).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0466]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
