[Fedora] Schwachstelle in rubygem-activesupport – FEDORA-2011-8494

[Fedora] Schwachstelle in rubygem-activesupport - FEDORA-2011-8494

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-2197 – Schwachstelle in Ruby on Rails (rubygem-actionpack)

In Ruby on Rails ist es moeglich, dass einige Methoden Daten an einen
Puffer anfuegen, der als “sicher” markiert wurde und dieser dann
weiterhin als sicher gilt, obwohl die Daten nicht ausreichend geprueft
wurden. Damit ist es einem entfernten Angreifer moeglich, einen
Cross-Site Scripting-Angriff durchzufuehren, indem er einen Nutzer
ueberzeugt, eine praeparierte Seite zu besuchen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket rubygem-activesupport

Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-8494
2011-06-21 16:12:52
– ——————————————————————————–

Name : rubygem-activesupport
Product : Fedora 15
Version : 3.0.5
Release : 3.fc15
URL : http://www.rubyonrails.org
Summary : Support and utility classes used by the Rails framework
Description :
Utility library which carries commonly used classes and
goodies from the Rails framework

– ——————————————————————————–
Update Information:

CVE-2011-2197
– ——————————————————————————–
ChangeLog:

* Thu Jun 16 2011 Mo Morsi – 1:3.0.5-3
– – Reverting accidental change adding a few gem flags
* Thu Jun 16 2011 Mo Morsi – 1:3.0.5-2
– – Include fix for CVE-2011-2197
– ——————————————————————————–
References:

[ 1 ] Bug #713692 – CVE-2011-2197 rubygem-activesupport: XSS due improper management of safe buffers
https://bugzilla.redhat.com/show_bug.cgi?id=713692
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update rubygem-activesupport’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJODGvWAAoJEJtyb8U7iGZBqkcH/2Li0SIwYClMGZvja6efbNXI
wbJLofYjvmsrYP9mHnqSfImoYzI7qkilw2t5kEhwj8oN5SkdndxUb0IFhe6HQaOL
IlnPJymDoLGD51Kfvy6L6E/dRhhV33wOfhlYDCtcwe9CYOBMstYjJaUWGvN4n24i
YhMt7b2pFbfnu9GKtHkpwa6pXHLrNFKiJgin/zJHKMQb7OO/BZ0UIdmat4oaqp3S
Bwg47lbdUGR0be1ZYulFQ8TGGdBi7Q6VyDG9yW/uoW6C5C5st620o2UC1UQqRBax
pSxMzMIHzB4CIDMuDhT+yUjm9fD+58pk7655nBT4iYGi5Lr4KLq0WWmkjxEnn5c=
=VzIM
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben