Ausführbare Code-Schwachstellen

Gepostet von Shugo Maeda am 20. Juni 2008

Mehrere Schwachstellen in Ruby können zu einer Denial-of-Service (DoS)-Bedingung führen oder die Ausführung von beliebigem Code ermöglichen.

Auswirkungen

Mit den folgenden Schwachstellen kann ein Angreifer eine Denial-of-Service-Bedingung herbeiführen oder beliebigen Code ausführen.

• CVE-2008-2662
• CVE-2008-2663
• CVE-2008-2725
• CVE-2008-2726
• CVE-2008-2664

Betroffene Versionen

1.8 Serie

• 1.8.4 und alle älteren Versionen
• 1.8.5-p230 und alle älteren Versionen
• 1.8.6-p229 und alle älteren Versionen
• 1.8.7-p21 und alle älteren Versionen

1.9 Serie

• 1.9.0-1 und alle älteren Versionen

Lösung

1.8 Serie

Bitte aktualisieren Sie auf 1.8.5-p231, 1.8.6-p230 oder 1.8.7-p22.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)

1.9 Serie

Bitte aktualisieren Sie auf 1.9.0-2.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)

Diese Versionen beheben auch die Schwachstelle von WEBrick (CVE-2008-1891).

Bitte beachten Sie, dass ein Paket, das diese Schwäche behebt, möglicherweise bereits über Ihre Paketverwaltungssoftware verfügbar ist.

Danksagung

Dank an Drew Yao von Apple Product Security für die Offenlegung des Problems an das Ruby Security Team.

Änderungen

• 2008-06-21 00:29 +09:00 falsche CVE-IDs entfernt (CVE-2008-2727, CVE-2008-2728).