DFN-CERT-2013-0340 Schwachstelle in Rubygem-activerecord [Linux][Fedora]

DFN-CERT-2013-0340 Schwachstelle in Rubygem-activerecord [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket rubygem-activerecord

Betroffene Plattformen:

Fedora 17

Zwei Schwachstellen in Ruby On Rails erlauben es schlimmstenfalls geschützte
Objekt-Attribute zu ändern oder einen Denial-of-Service-Angriff auf
betroffene Installationen durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-0277: Schwachstelle in Ruby on Rails

Eine Schwachstelle in Ruby on Rails macht betroffene Installationen anfällig
für Denial-of-Service-Angriffe. Grund hierfür ist ein Fehler bei der
Deserialisierung von YAML-Objekten in der Funktion “JSON.parse()” bei der
Erzeugung von Ruby Symbolen, die nach der Erzeugung nicht mehr aus dem
Speicher entfernt werden. Dies ermöglicht einem Angreifer, einen Absturz des
Systems zu provozieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0340/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-February/099026.html

Schwachstelle CVE-2013-0277:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0277

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben