UPDATE: DFN-CERT-2013-2026 Ruby: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat][SuSE]

UPDATE: DFN-CERT-2013-2026 Ruby: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (21.05.2014):
Apple hat als Sicherheitsupdate für OS X Server 3.1.1 oder vorher die
Version 3.1.2 veröffentlicht.
Version 1 (08.12.2013):
Neues Advisory

Betroffene Software:

Ruby <= 1.8.7 Ruby <= 1.9.3 Ruby <= 2.0.0 OS X Server <= 3.1.1 Betroffene Plattformen: Apple Mac OS X > 10.9.2
openSUSE 12.2
openSUSE 12.3
openSUSE 13.1
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 6 Server
Red Hat Enterprise Linux Desktop 6.0
Red Hat Enterprise Linux Workstation 6

Eine Schwachstelle in Ruby ermöglicht einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Angriff beliebige
Befehle auszuführen.

Bitte beachten Sie für die genauen Versionen die Angaben der
Originalversionen, da es durch sogenannte Backports Unterschiede zwischen
den Herstellern gibt.

Patch:

Red Hat Security Advisory RHSA-2013-1764

http://rhn.redhat.com/errata/RHSA-2013-1764.html

Patch:

openSUSE-SU-2013:1834-1

http://lists.opensuse.org/opensuse-updates/2013-12/msg00027.html

Patch:

openSUSE-SU-2013:1835-1

http://lists.opensuse.org/opensuse-updates/2013-12/msg00028.html

Patch:

Apple Hersteller-Advisory Apple-ADV-HT6248

http://support.apple.com/kb/HT6248

CVE-2013-4164: Pufferüberlauf beim Parsen von Gleitkommazahlen in Ruby

In der Funktion, die Zeichenketten nach Gleitkommazahlen parst, gibt es
einen Pufferüberlauf, der entweder über die Methode “to_f” oder mittels
Parsen durch JSON ausgenutzt werden kann. Ein entfernter, nicht
authentifizierter Angreifer, der Eingaben an eine verwundbare Ruby-Anwendung
schicken kann, kann diese Anwendung damit zum Absturz bringen oder
beliebigen Code zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2026/

Schwachstelle CVE-2013-4164 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4164

Red Hat Security Advisory RHSA-2013-1764:
http://rhn.redhat.com/errata/RHSA-2013-1764.html

openSUSE-SU-2013:1834-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00027.html

openSUSE-SU-2013:1835-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00028.html

Apple Hersteller-Advisory Apple-ADV-HT6248:
http://support.apple.com/kb/HT6248

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben