UPDATE: DFN-CERT-2013-2044 Rubygems: Schwachstelle im Rubygem i18n ermöglicht Cross-Site-Scripting [Linux][SuSE]

UPDATE: DFN-CERT-2013-2044 Rubygems: Schwachstelle im Rubygem i18n ermöglicht Cross-Site-Scripting [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.12.2013):
Update: Entsprechende Patches werden für openSUSE 12.2, 12.3 und 13.1 zur
Verfügung gestellt.
Version 1 (10.12.2013):
Neues Advisory

Betroffene Software:

Ruby I18n <= 0.6.5 Ruby Betroffene Plattformen: Fedora 18 Fedora 19 Fedora 20 openSUSE 12.2 openSUSE 12.3 openSUSE 13.1 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Befehle in fremdem Nutzerkontext zur Ausführung zu bringen. Patch: openSUSE-SU-2013:1930-1 http://lists.opensuse.org/opensuse-updates/2013-12/msg00093.html

Patch:

Fedora Update FEDORA-2013-23034

https://admin.fedoraproject.org/updates/FEDORA-2013-23034/rubygem-i18n-0.6.4-3.fc20

Patch:

Fedora Update FEDORA-2013-23068

https://admin.fedoraproject.org/updates/FEDORA-2013-23068/rubygem-i18n-0.6.0-2.fc18

Patch:

Fedora Update FEDORA-2013-23062

https://admin.fedoraproject.org/updates/FEDORA-2013-23062/rubygem-i18n-0.6.1-4.fc19

CVE-2013-4492: Schwachstelle im Rubygem i18n ermöglicht Cross-Site-Scripting

In dem Rubygem i18n werden Benutzereingaben in exceptions.rb nicht
hinreichend gefiltert und durch eine manipulierte Abfrage
(I18n::MissingTranslationData.new) können aktiver Code bzw. Skriptbefehle
oder HTML-Objekte eingeschleust werden. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Befehle
in fremdem Nutzerkontext zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2044/

openSUSE-SU-2013:1930-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00093.html

Schwachstelle CVE-2013-4492 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4492

Fedora Update FEDORA-2013-23034:
https://admin.fedoraproject.org/updates/FEDORA-2013-23034/rubygem-i18n-0.6.4-3.fc20

Fedora Update FEDORA-2013-23068:
https://admin.fedoraproject.org/updates/FEDORA-2013-23068/rubygem-i18n-0.6.0-2.fc18

Fedora Update FEDORA-2013-23062:
https://admin.fedoraproject.org/updates/FEDORA-2013-23062/rubygem-i18n-0.6.1-4.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben