Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RubyGems

Betroffene Plattformen:

Red Hat Fedora 18
Red Hat Fedora 19
Red Hat Fedora 20

Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um
Cross-Site-Scripting Angriffe durchzuführen.

Patch:

Fedora Update FEDORA-2014-0066

https://admin.fedoraproject.org/updates/FEDORA-2014-0066/rubygem-will_paginate-3.0.4-4.fc20

Patch:

Fedora Update FEDORA-2014-0094

https://admin.fedoraproject.org/updates/FEDORA-2014-0094/rubygem-will_paginate-3.0.4-2.fc19

Patch:

Fedora Update FEDORA-2014-0085

https://admin.fedoraproject.org/updates/FEDORA-2014-0085/rubygem-will_paginate-3.0.2-5.fc18

CVE-2013-6459: Cross-Site-Scripting Schwachstelle in RubyGems Will-Paginate

In RubyGems Will-Paginate werden bestimmte, vom Benutzer durch Eingaben
beeinflussbare Links nicht fehlerfrei bereinigt. Dies ermöglicht einem
entfernten Angreifer beliebige HTML- oder Script-Befehle im Kontext eines
anderen Benutzers zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0005/

Schwachstelle CVE-2013-6459 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6459

Fedora Update FEDORA-2014-0066:
https://admin.fedoraproject.org/updates/FEDORA-2014-0066/rubygem-will_paginate-3.0.4-4.fc20

Fedora Update FEDORA-2014-0094:
https://admin.fedoraproject.org/updates/FEDORA-2014-0094/rubygem-will_paginate-3.0.4-2.fc19

Fedora Update FEDORA-2014-0085:
https://admin.fedoraproject.org/updates/FEDORA-2014-0085/rubygem-will_paginate-3.0.2-5.fc18

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.