Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Ruby on Rails <= 2.0.7 Ruby on Rails <= 2.1.0 rc2 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Fedora Linux UNIX Eine Schwachstelle in Rubygems ermöglicht einen entfernten, nicht authentifizierten Angreifer durch präparierte Versionsinformationen einen Denial-of-Service Angriff durchzuführen. Patch: Herstellerpatchinformationen http://blog.rubygems.org/2013/09/09/CVE-2013-4287.html

Patch:

Fedora Update FEDORA-2013-16251

https://admin.fedoraproject.org/updates/FEDORA-2013-16251

Patch:

Fedora Update FEDORA-2013-16316

https://admin.fedoraproject.org/updates/FEDORA-2013-16316

Patch:

Fedora Update FEDORA-2013-16376

https://admin.fedoraproject.org/updates/FEDORA-2013-16376

CVE-2013-4287: Schwachstelle in Rubygems

Rubygems validiert Versionsinformationen nicht korrekt durch Reguläre
Ausdrücke. Ein entfernter, nicht authentifizierter Angreifer kann durch
präparierte Versionsinformation einen Denial-of-Service Angriff durchführen,
der alle CPU Ressourcen bindet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1682/

Herstellerpatchinformationen:
http://blog.rubygems.org/2013/09/09/CVE-2013-4287.html

Schwachstelle CVE-2013-4287 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4287

Fedora Update FEDORA-2013-16251:
https://admin.fedoraproject.org/updates/FEDORA-2013-16251

Fedora Update FEDORA-2013-16316:
https://admin.fedoraproject.org/updates/FEDORA-2013-16316

Fedora Update FEDORA-2013-16376:
https://admin.fedoraproject.org/updates/FEDORA-2013-16376

Schwachstelle CVE-2013-4287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4287

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.