DFN-CERT-2018-0220 Ruby: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux]

DFN-CERT-2018-0220 Ruby: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Ruby

Betroffene Plattformen:

Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.10

Mehrere Schwachstellen in Ruby ermöglichen einem entfernten, nicht
authentisierten Angreifer die Ausführung beliebigen Programmcodes, die
Manipulation von Dateien und die Darstellung falscher Informationen.

Canonical stellt für die Distributionen Ubuntu 17.10 und Ubuntu 16.04 LTS
Sicherheitsupdates für ‘ruby2.3’ zur Behebung dieser Schwachstellen bereit.

Patch:

Ubuntu Security Notice USN-3553-1

http://www.ubuntu.com/usn/usn-3553-1/

CVE-2017-0903: Schwachstelle in RubyGems ermöglicht Ausführen beliebigen
Programmcodes

Eine fehlerhafte Objekt-Deserialisierung in RubyGems 2.0.0 bis 2.6.13
ermöglicht einem Angreifer durch Hochladen eines speziell modifizierten Gems
zu RubyGems.org, das Injizieren eines beliebigen Ruby-Objektes, welches dort
z.B. dafür genutzt werden kann, beliebigen Programmcode auszuführen. Ein
entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
RubyGems ausnutzen, um beliebigen Programmcode auszuführen und
möglicherweise weitere Angriffe durchzuführen.

CVE-2017-0902: Schwachstelle in RubyGems ermöglicht Darstellung falscher
Informationen

Durch eine Schwachstelle in RubyGems ist es einem entfernten, nicht
authentisierten Angreifer in einer privilegierten Position im Netzwerk
(Man-in-the-Middle) möglich, DNS-Informationen zu manipulieren (DNS
Hijacking). Der Angreifer kann dadurch RubyGems-Clients dazu bringen, Gems
unwissentlich von einem Server unter seiner Kontrolle zu installieren,
wodurch weitere Angriffe möglich sind.

CVE-2017-0901: Schwachstelle in RubyGems ermöglicht Manipulation von Dateien

Die Namen von Spezifikationen werden in RubyGems vor Version 2.6.13 nicht
korrekt validiert. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle mit Hilfe speziell präparierter Spezifikationsnamen
ausnutzen, um beliebige Dateien auf einem betroffenen System zu
überschreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0220/

Schwachstelle CVE-2017-0901 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0901

Schwachstelle CVE-2017-0902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0902

Schwachstelle CVE-2017-0903 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0903

Ubuntu Security Notice USN-3553-1:
http://www.ubuntu.com/usn/usn-3553-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben