[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Schwachstellen in Ruby bis einschliesslich Version 1.9 r18423 - FEDORA-2008-8736
-----BEGIN PGP SIGNED MESSAGE-----
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2008-3655 - Schwachstellen in der Ruby "safe level" Implementierung
Fehler in der Ruby Safe Level Implementierung ermoeglichen es auf
Safe Level 4 "untrace_var" und "syslog" aufzurufen sowie die Variable
"$PROGRAM_NAME" zu veraendern. Ferner koennen auf Safe Level 1 - 3
trotz Verbots verschiedene Methoden aufgerufen werden. Ein Angreifer
kann diese Schwachstelle dazu ausnutzen, die Safe Level
Beschraenkungen eines Ruby Programms zu umgehen und so evtl.
beliebigen Code mit den Rechten des Programms auszufuehren.
CVE-2008-3656 - Denial of Schwachstelle in Ruby
WEBrick::HTTP::DefaultFileHandler
Ein Fehler beim Backtracking innerhalb eines regulaeren Ausdrucks
fuehrt bei der Verarbeitung von HTTP Requests in Rubys
WEBrick::HTTP::DefaultFileHandler dazu, das dafuer sehr viel CPU-Zeit
verbraucht wird. Ein Angreifer kann diese Schwachstelle ueber das Netz
zu einem Denial of Service Angriff gegen eine Ruby WEBrick Anwendung
ausnutzen.
CVE-2008-3657 - Ruby dl Modul prueft Eingabedaten nicht auf "tainted"
Zustand
Das Ruby dl Modul ueberprueft nicht, ob Eingabedaten als "tainted"
markiert sind. Angreifer koennen diese Schwachstelle dazu ausnutzen,
die Safe Level Beschraenkungen zu umgehen und evtl. beliebigen Code
mit den Rechten des Ruby Programms ausfuehren.
CVE-2008-3905 - Unzureichende Entropie in Rubys resolv.rb
Das Ruby Modul resolv.rb benutzt sequentiell steigende Transaction IDs
und einen konstanten Quellport fuer Nameserver Abfragen. Dies
erleichtert das Faelschen von DNS Antworten und ermoeglicht Angreifern
so, Netzwerkverkehr des aufrufenden Ruby Programms umzuleiten.
CVE-2008-3790 - Denial of Service Schwachstelle im Ruby REXML Modul
Das Ruby REXML Modul verbraucht aufgrund eines Fehlers sehr viel
CPU-Zeit bei der Auswertung von XML-Dokumenten mit rekursiv
verschachtelten XML-Entities. Ein Angreifer kann diese Schwachstelle
ueber das Netz zu einem Denial of Service Angriff gegen eine Ruby
Anwendung ausnutzen.
CVE-2008-3443 - Denial of Service Schwachstelle in der Ruby Regex Engine
Fehler in der Ruby Engine zur Auswertung Regulaerer Ausdruecke
(regex.c) fuehren dazu, das der Code in eine Endlosschleife geraten
und abstuerzen kann. Ein entfernter Angreifer kann diese Schwachstelle
zu einem Denial of Server Angriff gegen ein Ruby Programm ausnutzen.
CVE-2008-1447 / VU#800113 - Schwachstelle im DNS Protokoll erlaubt
effiziente DNS Cache Poisoning Angriffe
Die Ausnutzung von Schwachstellen im Domain Name Service (DNS)
erlauben es Angreifern, DNS Antworten zu faelschen und dadurch falsche
Eintraege in den Cache eines Nameservers oder Resolvers einzufuegen
(DNS Cache Poisoning). Bei erfolgreicher Ausnutzung der Schwachstellen
kann der Netzwerkverkehr von Systemen umgeleitet werden, die DNS
Antworten aus dem angegriffenen Cache beziehen. Die Angreifer koennen
dadurch unter anderem an vertrauliche Daten gelangen.
Neuere Forschungen haben effizientere Methoden ergeben, die einen
Cache Poisoning Angriff in wesentlich kuerzerer Zeit und mit erheblich
hoeherer Erfolgsrate moeglich machen. Da die Schwachstelle im
Protokoll liegt, sind grundsaetzlich alle Resolver und Nameserver
Implementierungen betroffen. Ein Exploit fuer die Schwachstelle ist
frei verfuegbar.
Als Gegenmassnahme wird die sog. "Query Source Port Randomization"
implementiert. D.h. ein Nameserver bzw. Resolver verwendet einen
zufaellig gewaehlten UDP Startport fuer DNS Anfragen. Dadurch wird die
Gesamtentropie (neben der Tranaction ID von 16 Bit) der DNS Anfrage
erhoeht und der Cache Poisoning Angriff stark erschwert, da der
Angreifer neben der Transaction ID auch die Nummer des Startports
korrekt raten muss, um einen erfolgreichen Angriff durchzufuehren.
Bitte beachten Sie: Falls ihr Nameserver bzw. Resolver vorher einen
festen Startport fuer DNS Anfragen verwendet hat, muessen sie die
Regeln ihrer Firewall aendern, wenn sie Source Port Randomization
verwenden.
CVE-2008-1891 - Directory Traversal Schwachstelle in Rubys WEBrick
Die Ruby WEBrick Klassen erlauben es einem entfernten Angreifer
Einsicht in CGI-Skripte zu nehmen, wenn diese auf einem FAT oder NTFS
Dateisystem liegen. Ursache sind Fehler in der Verarbeitung bestimmter
Zeichen, wenn diese an die URL eines CGI-Skripts angehaengt werden.
Die Zeichen sind "+" bzw. "%2b", "." bzw. "%2e" und "%20"
(Leerzeichen).
CVE-2008-2662 - Integer Overflows in der Ruby Funktion
rb_str_buf_append()
In Ruby Funktion rb_str_buf_append() lassen sich an mehreren Stellen
Integer Overflows ausloesen, die dazu fuehren, dass ein zu kleines
Array auf dem Heap angelegt wird, ueber dessen Ende hinaus geschrieben
werden kann (Heap Overflow). Angreifer koennen diese Schwachstelle
dazu ausnutzen, beliebigen Code mit den Rechten der Ruby Anwendung
auszufuehren, welche die Funktion (aus der String Klasse) verwendet.
CVE-2008-2663 - Integer Overflows in der Ruby Funktion rb_ary_store()
In Ruby Funktion rb_ary_store() lassen sich an mehreren Stellen
Integer Overflows ausloesen, die dazu fuehren, dass ein zu kleines
Array auf dem Heap angelegt wird, ueber dessen Ende hinaus geschrieben
werden kann (Heap Overflow). Angreifer koennen diese Schwachstelle
dazu ausnutzen, beliebigen Code mit den Rechten der Ruby Anwendung
auszufuehren, welche die Funktion (aus der Array Klasse) verwendet.
CVE-2008-2664 - Unsicherer alloac() Aufruf in der Ruby Funktion
rb_str_format()
Die Ruby Funktion rb_str_format() ruft alloca() auf unsichere Weise
auf, wodurch Speicher unter bestimmten Umstaenden ausserhalb der
Grenzen des Stacks alloziert wird. Angreifer koennen diese
Schwachstelle dazu ausnutzen, beliebigen Code mit den Rechten der Ruby
Anwendung auszufuehren, welche die Funktion (aus der String Klasse)
verwendet.
CVE-2008-2725 / CVE-2008-2726 - Integer Overflows in der Ruby Funktion
rb_ary_splice()
In Ruby Funktion rb_ary_splice() lassen sich an mehreren Stellen
(REALLOC_N: CVE-2008-2725, "beg + rlen": CVE_2008-2726) Integer
Overflows ausloesen, die dazu fuehren das ein zu kleines Array auf dem
Heap angelegt wird, ueber dessen Ende hinaus geschrieben werden kann
(Heap Overflow). Angreifer koennen diese Schwachstelle dazu ausnutzen,
beliebigen Code mit den Rechten der Ruby Anwendung auszufuehren, welche
die Funktion (aus der Array Klasse) verwendet.
CVE-2007-5162 / CVE-2007-5770 - Schwachstelle in der Bibliothek
Net::HTTPS in Ruby 1.8.5 und 1.8.6
Die Ruby Bibliothek Net::HTTPS beinhaltet einen Fehler bei der
Verifikation des Common Names (CN) von Server-Zertifikaten. Konsequenz
ist, dass das Zertifikat als gueltig behandelt wird, selbst wenn der
CN des Zertifikates nicht mit den Domaenennamen im HTTPS-Request
uebereinstimmt. Ein entfernter Angreifer kann diese Schwachstelle
ausnutzen, um ein gueltiges Zertifikat fuer einen beliebigen Server
vorzutaeuschen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket ruby
Fedora 8
Fedora 9
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2008-October/msg00259.html
https://www.redhat.com/archives/fedora-package-announce/2008-October/msg00299.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
- --
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2008-8736
2008-10-09 04:46:00
- --------------------------------------------------------------------------------
Name : ruby
Product : Fedora 8
Version : 1.8.6.287
Release : 2.fc8
URL : http://www.ruby-lang.org/
Summary : An interpreter of object-oriented scripting language
Description :
Ruby is the interpreted scripting language for quick and easy
object-oriented programming. It has many features to process text
files and to do system management tasks (as in Perl). It is simple,
straight-forward, and extensible.
- --------------------------------------------------------------------------------
Update Information:
Update to new upstream release fixing multiple security issues detailed in the
upstream advisories: http://www.ruby-lang.org/en/news/2008/08/08/multiple-
vulnerabilities-in-ruby/ - CVE-2008-3655 - multiple insufficient safe mode
restrictions - CVE-2008-3656 - WEBrick DoS vulnerability (CPU consumption) -
CVE-2008-3657 - missing "taintness" checks in dl module - CVE-2008-3905 -
resolv.rb adds random transactions ids and source ports to prevent DNS spoofing
attacks http://www.ruby-lang.org/en/news/2008/08/23/dos-vulnerability-in-
rexml/ - CVE-2008-3790 - DoS in the REXML module One issue not covered by
any upstream advisory: - CVE-2008-3443 - DoS in the regular expression engine
- --------------------------------------------------------------------------------
ChangeLog:
* Wed Oct 8 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.287-2
- - CVE-2008-3790: DoS vulnerability in the REXML module.
* Sat Aug 23 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.287-1
- - New upstream release.
- - Security fixes.
- CVE-2008-3655: Ruby does not properly restrict access to critical
variables and methods at various safe levels.
- CVE-2008-3656: DoS vulnerability in WEBrick.
- CVE-2008-3657: Lack of taintness check in dl.
- CVE-2008-1447: DNS spoofing vulnerability in resolv.rb.
- CVE-2008-3443: Memory allocation failure in Ruby regex engine.
- - Remove the unnecessary backported patches.
* Tue Jul 1 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.230-4
- - Backported from upstream SVN to fix a segfault issue with Array#fill.
* Mon Jun 30 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.230-3
- - Backported from upstream SVN to fix a segfault issue. (#452825)
- - Backported from upstream SVN to fix an integer overflow in rb_ary_fill.
* Wed Jun 25 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.230-2
- - Fix a segfault issue. (#452798)
* Tue Jun 24 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.230-1
- - New upstream release.
- - Security fixes. (#452293)
- CVE-2008-1891: WEBrick CGI source disclosure.
- CVE-2008-2662: Integer overflow in rb_str_buf_append().
- CVE-2008-2663: Integer overflow in rb_ary_store().
- CVE-2008-2664: Unsafe use of alloca in rb_str_format().
- CVE-2008-2725: Integer overflow in rb_ary_splice().
- CVE-2008-2726: Integer overflow in rb_ary_splice().
- - ruby-1.8.6.111-CVE-2007-5162.patch: removed.
* Tue Mar 4 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.114-1
- - Security fix for CVE-2008-1145.
- - Improve a spec file. (#226381)
- Correct License tag.
- Fix a timestamp issue.
- Own a arch-specific directory.
* Tue Feb 19 2008 Fedora Release Engineering <rel-eng@xxxxxxxxxxxxxxxxx> - 1.8.6.111-9
- - Autorebuild for GCC 4.3
* Tue Feb 19 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.111-8
- - Rebuild for gcc-4.3.
* Tue Jan 15 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.111-7
- - Revert the change of libruby-static.a. (#428384)
* Fri Jan 11 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.111-6
- - Fix an unnecessary replacement for shebang. (#426835)
* Fri Jan 4 2008 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.111-5
- - Rebuild.
* Fri Dec 28 2007 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.111-4
- - Clean up again.
* Fri Dec 21 2007 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.111-3
- - Clean up the spec file.
- - Remove ruby-man-1.4.6 stuff. this is entirely the out-dated document.
this could be replaced by ri.
- - Disable the static library building.
* Tue Dec 4 2007 Release Engineering <rel-eng at fedoraproject dot org> - 1.8.6.111-2
- - Rebuild for openssl bump
* Wed Oct 31 2007 Akira TAGOH <tagoh@xxxxxxxxxx>
- - Fix the dead link.
* Mon Oct 29 2007 Akira TAGOH <tagoh@xxxxxxxxxx> - 1.8.6.111-1
- - New upstream release.
- - ruby-1.8.6.111-CVE-2007-5162.patch: Update a bit with backporting the changes
at trunk to enable the fix without any modifications on the users' scripts.
Note that Net::HTTP#enable_post_connection_check isn't available anymore.
If you want to disable this post-check, you should give OpenSSL::SSL::VERIFY_NONE
to Net::HTTP#verify_mode= instead of.
- --------------------------------------------------------------------------------
References:
[ 1 ] Bug #458948 - CVE-2008-3655 ruby: multiple insufficient safe mode restrictions
https://bugzilla.redhat.com/show_bug.cgi?id=458948
[ 2 ] Bug #458966 - CVE-2008-3657 ruby: missing "taintness" checks in dl module
https://bugzilla.redhat.com/show_bug.cgi?id=458966
[ 3 ] Bug #461495 - CVE-2008-3905 ruby: use of predictable source port and transaction id in DNS requests done by resolv.rb module
https://bugzilla.redhat.com/show_bug.cgi?id=461495
[ 4 ] Bug #459266 - CVE-2008-3443 ruby: Memory allocation failure in Ruby regex engine (remotely exploitable DoS)
https://bugzilla.redhat.com/show_bug.cgi?id=459266
[ 5 ] Bug #458953 - CVE-2008-3656 ruby: WEBrick DoS vulnerability (CPU consumption)
https://bugzilla.redhat.com/show_bug.cgi?id=458953
[ 6 ] Bug #460134 - CVE-2008-3790 ruby: DoS vulnerability in the REXML module
https://bugzilla.redhat.com/show_bug.cgi?id=460134
- --------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update ruby' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSO83rUhXCWfrVVdXAQHq4ggAgG254gZwK0Fl5Xks7iFRu5AzwQ1K8J85
pzVnwjjH1slZddRcuOVjXoyGCi3lBkfGXiBfNvQeAdwZBf1p8nRuhqzlMCCkuEiY
+bKu5eG8VYqKJgqglCD3Wp81ysc2fNnm+9ci4uwnl7uxV+vh27O//KZ6Bb4ke1SK
S6j9A8TdELaR/u+8+x+4czm5QcgZlFtfsqF7WN8MJwtfK9m0gvx9cJ8Dg+Y2xcMx
6vSrvU5NQlpOxnfgfu90tRVwD6Qtsj8BvYuQg21nwiXWlUQRWgrBtVf4gf4LEU9V
uXGIpBS8p9JfOo30kP+3ntAuHO4C5XHO1Wm3RsbpRk5JmQ4SHRFQNQ==
=Vsw8
-----END PGP SIGNATURE-----