[Fedora] Schwachstelle in rubygem-activesupport – FEDORA-2011-11600

[Fedora] Schwachstelle in rubygem-activesupport - FEDORA-2011-11600

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-2932 – Cross-site Scripting Schwachstellen in Ruby on Rails

Im Code von output_safety.rb in Ruby on Rails existiert eine Cross-site
Scripting Schwachstelle aufgrund der fehlerhaften Verarbeitung von
Unicode-Zeichen. Einem entfernten Angreifer erlaubt dies durch
praeparierte Unicode-Strings beliebige HTML- und JavaScript-Befehle im
Browser anderer Benutzer zur Ausfuehrung zu bringen (Cross-site
Scripting).

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket rubygem-activesupport

Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-11600
2011-08-26 18:31:24
– ——————————————————————————–

Name : rubygem-activesupport
Product : Fedora 14
Version : 2.3.8
Release : 4.fc14
URL : http://www.rubyonrails.org
Summary : Support and utility classes used by the Rails framework
Description :
Utility library which carries commonly used classes and
goodies from the Rails framework

– ——————————————————————————–
Update Information:

fix for BZ #731435
– ——————————————————————————–
ChangeLog:

* Tue Aug 23 2011 Mo Morsi – 1:2.3.8-4
– – included fix for BZ #731435
– ——————————————————————————–
References:

[ 1 ] Bug #731435 – CVE-2011-2932 rubygem-activesupport: XSS vulnerability in escaping function (Ruby on Rails)
https://bugzilla.redhat.com/show_bug.cgi?id=731435
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update rubygem-activesupport’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOZ2EXAAoJEJtyb8U7iGZBqXYH/0em7aCjyANYZLPUqBlAUAZx
nCCIHnk6Gd6Pw9oteFGnkxqC5VY3Cs/VW3+XHak2bzJXTqhNj7VizD7KdA5v81yT
eKgg53ANlr8ulhVd3QDXMcYs8Osv7ArQ4a4iDMe5RgLbSdT7ULiIPA1UJTg1/bUb
2mHoE6DkEDoIPyBZvjV/YWeiIHtvarM434e3JZf1SjulPd5inGciVYHmeOJ3+MUs
sM8+uoXvnZ6uVqva8ulMojuBrcY3CP3ZbDOMlbHBDEI/dKhqZYp66EgX1FB0tr+f
8PqdKjUis+zPAqf/0eZ7mhKV5i2Mh6Mnu6Jrsz8g+2y7A8pKUjVfAN4NM62zK8U=
=5it0
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben