Update für Ruby 2.6.5, 2.5.7 und 2.4.8 zur Behebung von Sicherheitsanfälligkeiten

Es wurden Korrekturversionen der Programmiersprache Ruby erstellt 2.6.5, 2.5.7 und 2.4.8, in denen vier Schwachstellen behoben wurden. Die gefährlichste Schwachstelle (CVE-2019-16255) befindet sich in der Standardbibliothek Shell (lib/shell.rb), die ermöglicht es eine Code-Injektion ermöglicht. Bei der Verarbeitung von Benutzereingaben im ersten Argument der Methoden Shell#[] oder Shell#test, die zur Überprüfung der Existenz von Dateien verwendet werden, kann ein Angreifer in der Lage sein, beliebige Ruby-Methoden aufzurufen.

Weitere Probleme:

  • CVE-2019-16254 — Anfälligkeit des eingebauten http-Servers WEBrick für HTTP-Response-Splitting-Angriffe (wenn das Programm ungeprüfte Daten in den HTTP-Antwortheader einfügt, kann der Header durch das Einfügen eines Zeilenumbruchzeichens getrennt werden);
  • CVE-2019-15845 Code-Injektion eines Nullzeichens (\0) in Dateipfade, die über die Methoden «File.fnmatch» und «File.fnmatch?» überprüft werden, kann zu einem falschen Positiv bei der Überprüfung führen;
  • CVE-2019-16201 — Denial of Service im Diges-Authentifizierungsmodul für WEBrick.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster