—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-3009 – Cross-site Scripting Schwachstelle in Ruby on Rails
Ruby on Rails saeubert Unicode Strings im Form Helder nicht
ausreichend von evtl. enthaltenem HTML- oder Skriptcode. Ein
entfernter Angreifer kann diese Schwachstelle dazu ausnutzen,
beliebigen Skriptcode im Browser anderer Benutzer auszufuehren
(Cross-site Scripting).
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket rubygem
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-September/msg00684.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-9799
2009-09-24 04:13:14
– ——————————————————————————–
Name : rubygem-activesupport
Product : Fedora 10
Version : 2.1.1
Release : 2.fc10
URL : http://www.rubyonrails.org
Summary : Support and utility classes used by the Rails framework
Description :
Utility library which carries commonly used classes and
goodies from the Rails framework
– ——————————————————————————–
Update Information:
A vulnerability is found on Ruby on Rails in the escaping code for the form
helpers, which also affects the rpms shipped in Fedora Project. Attackers who
can inject deliberately malformed unicode strings into the form helpers can
defeat the escaping checks and inject arbitrary HTML. This issue has been tagged
as CVE-2009-3009. These new rpms will fix this issue.
– ——————————————————————————–
ChangeLog:
* Mon Sep 21 2009 Mamoru Tasaka
– – Patch for CVE-2009-3009 (bug 520843)
– ——————————————————————————–
References:
[ 1 ] Bug #520843 – CVE-2009-3009 ruby-activesupport: XSS vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=520843
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update rubygem-activesupport’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFKu3Fak0kIxZMiiQ8RAg3jAJwPOLYGRA4gVuqjjVNoFhObTMF5mQCfex1p
Ft1KI61iQc03rB4b0dT18oI=
=A4DB
—–END PGP SIGNATURE—–
