—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-0541 – Cross-site Scripting Schwachstelle im Ruby WEBrick
Webserver

Im Ruby WEBrick HTTP-Server werden beim Ausliefern von Fehler-Seiten
Fehler bei der Auswahl des Character-Sets gemacht. So werden diese
Seiten faelschlicherweise im UTF-7 Format ausgeliefert, was beim
Anzeigen der Seiten in bestimmten Webbrowsern zu Fehlern fuehrt und es
ermoeglicht JavaScript-Code in eine Seite einzuschleusen. Ein Angreifer
kann die Schwachstelle ausnutzen um im Browser eines Benutzers
beliebige Script-Befehle auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket ruby

Fedora 12
Fedora 13
Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-13401
2010-08-24 01:08:59
– ——————————————————————————–

Name : ruby
Product : Fedora 14
Version : 1.8.7.302
Release : 1.fc14
URL : http://www.ruby-lang.org/
Summary : An interpreter of object-oriented scripting language
Description :
Ruby is the interpreted scripting language for quick and easy
object-oriented programming. It has many features to process text
files and to do system management tasks (as in Perl). It is simple,
straight-forward, and extensible.

– ——————————————————————————–
Update Information:

New version 1.8.7p302 is released. This version is for XSS security
vulnerability found in WEBrick module which is now tagged as CVE-2010-0541.
– ——————————————————————————–
References:

[ 1 ] Bug #587731 – CVE-2010-0541 Ruby WEBrick javascript injection flaw
https://bugzilla.redhat.com/show_bug.cgi?id=587731
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update ruby’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkxztK8ACgkQWmhIvjFb90ViPQCaA12D38JStCB6EHcY6LGmHgbq
JFcAoINSG4PHQo8CWrQ6iocenxmG2Yq8
=xRZp
—–END PGP SIGNATURE—–