U radu programskog paketa Ruby uočeni su višestruki sigurnosni propusti koje zlonamjerni korisnik može iskoristiti za izvođenje DoS napada (rušenje aplikacije), pokretanje proizvoljnog programskog koda, izvođenje XSS napada te izmjenu proizvoljnih znakovnih nizova.
Paket:
ruby 1.x
Operacijski sustavi:
CentOS , Red Hat Enterprise Linux 5
Kritičnost:
5.3
Problem:
neodgovarajuće rukovanje memorijom, pogreška u programskoj komponenti, XSS
Iskorištavanje:
lokalno/udaljeno
Posljedica:
izmjena podataka, proizvoljno izvršavanje programskog koda, umetanje HTML i skriptnog koda, uskraćivanje usluga (DoS)
Propusti su posljedica nepravilnosti prilikom dodjeljivanja memorije na 64-bitnim sustavima kad se koristi BigDecimal klasa, tzv. "race" uvjeta u "FileUtils" modulu, pogreške u radu WEBrick alata te XSS ranjvosti.
Posljedica:
Napadaču propusti omogućuju izvođenje DoS i XSS napada, pokretanje proizvoljnog programskog koda te izmjenu pojedinih podataka.
Rješenje:
Korisnicima ranjivog paketa preporuča se instalacija sigurnosnih zakrpa.
CentOS Errata and Security Advisory 2011:0909 Moderate
Upstream details at :
The following updated files have been uploaded and are currently
syncing to the mirrors: ( md5sum Filename )
i386:
8e6e073eab9471d4194141f6c9117b42 ruby-1.8.5-19.el5_6.1.i386.rpm
342f1fb66542e5d090646371b777bbb4 ruby-devel-1.8.5-19.el5_6.1.i386.rpm
0d21deaee27e47b161ae787ed84157ba ruby-docs-1.8.5-19.el5_6.1.i386.rpm
39d93d82ce5c43a3012ccafd5aba6dc4 ruby-irb-1.8.5-19.el5_6.1.i386.rpm
4ea92c92109384e180f251ac458a889b ruby-libs-1.8.5-19.el5_6.1.i386.rpm
bc40b4fa64cb6e18de029bbee8a0fc48 ruby-mode-1.8.5-19.el5_6.1.i386.rpm
5391a7816a395dfe9861db4633176c02 ruby-rdoc-1.8.5-19.el5_6.1.i386.rpm
e7652e9e3d4be8bb2a951bd572eddcbb ruby-ri-1.8.5-19.el5_6.1.i386.rpm
bae69687492ef23fd4afa6b555799d12 ruby-tcltk-1.8.5-19.el5_6.1.i386.rpm
Source:
e6b14d3ee0a8d803ed97d4e5cfd5f8d9 ruby-1.8.5-19.el5_6.1.src.rpm
--
Karanbir Singh
CentOS Project { http://www.centos.org/ }
irc: z00dax, #Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
_______________________________________________
CentOS-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
http://lists.centos.org/mailman/listinfo/centos-announce
CentOS Errata and Security Advisory 2011:0909 Moderate
Upstream details at : https://rhn.redhat.com/errata/RHSA-2011-0909.html
The following updated files have been uploaded and are currently
syncing to the mirrors: ( md5sum Filename )
x86_64:
8157d733ae97be6cb220b78ca82d2be0 ruby-1.8.5-19.el5_6.1.x86_64.rpm
1c144d005507118b9aacd93356311e7b ruby-devel-1.8.5-19.el5_6.1.i386.rpm
b69cd51d6d9ed0d2e8fb6caee8236650 ruby-devel-1.8.5-19.el5_6.1.x86_64.rpm
c02229e2f2b4dcb00f11015d9c1fe966 ruby-docs-1.8.5-19.el5_6.1.x86_64.rpm
a5815dfaa568eec544d88c1a572adba1 ruby-irb-1.8.5-19.el5_6.1.x86_64.rpm
ddaba72078e8347b6c6c5ff5327a2c02 ruby-libs-1.8.5-19.el5_6.1.i386.rpm
787ed0c0913e9fdb489b229467a086ae ruby-libs-1.8.5-19.el5_6.1.x86_64.rpm
c52f8fadd781c6f94f0ec25ab554ed62 ruby-mode-1.8.5-19.el5_6.1.x86_64.rpm
2dd1f5a57f490aa756b424c08cef0927 ruby-rdoc-1.8.5-19.el5_6.1.x86_64.rpm
f7f9c27918c547ff30eff38b58dcce68 ruby-ri-1.8.5-19.el5_6.1.x86_64.rpm
93b5da7a1cb05a1ab071d9f25fbb3f39 ruby-tcltk-1.8.5-19.el5_6.1.x86_64.rpm
Source:
e6b14d3ee0a8d803ed97d4e5cfd5f8d9 ruby-1.8.5-19.el5_6.1.src.rpm
--
Karanbir Singh
CentOS Project { http://www.centos.org/ }
irc: z00dax, #Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
_______________________________________________
CentOS-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
http://lists.centos.org/mailman/listinfo/centos-announce
Posljednje sigurnosne preporuke