Ruby stopft mehrere Sicherheitslücken

In der Implementierung der Programmiersprache Ruby haben Entwickler mehrere Sicherheitslücken gefunden und gestopft. Betroffen sind die Versionen 1.8 und 1.9 und damit sehr viele in Ruby programmierte Webanwendungen.

Die zum Teil kritischen Sicherheitslücken wurden vom Apple-Mitarbeiter Drew Yao gefunden und an das Ruby-Team gemeldet. Die sechs Fehler mit den CVE-Nummern CVE-2008-2662, CVE-2008-2663, CVE-2008-2725, CVE-2008-2726 und CVE-2008-2664 ermöglichen laut Ruby-Website unter Umständen Denial-of-Service-Angriffe oder die Ausführung von Schadcode. Als betroffen werden auf der Website die Versionen 1.8.4, 1.8.5-p230, 1.8.6-p229, 1.8.7-p21 und 1.9.0-1 sowie deren jeweilige Vorgänger aufgeführt.

Einen der Fehler beschreibt der Sicherheitsdienstleister Secunia. Demnach existiert ein Fehler, der zu multiplen Integer Overflows führen kann, in den Funktionen “ary_new()”, “rb_ary_initialize()”, “rb_ary_store()”, “rb_ary_times()” und “rb_ary_splice()” im Modul “array.c”. Um darüber den Pufferüberlauf zu erzwingen, muss ein Angreifer überlange Argumente an die aufgeführten Funktionen übergeben. Ein zweiter Fehler zeigt sich laut Secunia beim Aufruf der Funktion “alloca()” in “rb_str_buf_append()”. Das resultiere in einer Speicherverletzung.

Weiterführende Informationen zu den Schwachstellen sind derzeit noch Mangelware. Im CVE-Verzeichnis bei Mitre sind bisher nur die CVE-Nummern reserviert, ohne jedoch Details aufzuführen. Eric Monti vom Security-Blog Matsano Chargen beschreibt die Lücken recht umfangreich und vermutet in seinem Beitrag, dass wahrscheinlich etliche Webanwendungen von den Fehlern betroffen sind. Die Entwickler von Ruby haben währenddessen Updates für die betroffenen Versionen der 1.8er und 1.9er Serie zum Download bereitgestellt.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben