DFN-CERT-2013-1018 Schwachstelle in Ruby [Linux][Fedora]

DFN-CERT-2013-1018 Schwachstelle in Ruby [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket ruby

Betroffene Plattformen:

Fedora 17
Fedora 18

Eine Schwachstelle in Ruby erlaubt einem Angreifer schlimmstenfalls
Sicherheitsmaßnahmen in Anwendungen zu umgehen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-2065: Schwachstelle in Ruby

In Ruby in DL und Fiddle können Eingaben, die als ‘tainted’ markiert wurden,
in Systemcalls verwendet werden. Die Verwendung hängt dabei nicht, wie
vorgesehen, von der in $SAFE gesetzten Stufe ab. Dies führt dazu, dass
Objekte die den Status ‘tainted’ haben, akzeptiert werden und keine
‘Security Exception’ ausgelöst wird. Einem entfernten Angreifer ist es damit
möglich, Sicherheitsmaßnahmen in Anwendungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1018/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/107098.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/107064.html

Schwachstelle CVE-2013-2065:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2065

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben