CB-K13/0109 Update 9
Risikostufe 3
Titel:Ruby on Rails: Mehrere SchwachstellenDatum:25.05.2021Software:Open Source Ruby on Rails 1.9.x, Open Source Ruby on Rails 2.3.x < 2.3.17, Open Source Ruby on Rails 3.0.x, Open Source Ruby on Rails 3.1.x < 3.1.11, Open Source Ruby on Rails 3.2.x < 3.2.12, Debian Linux, Amazon Linux 2Plattform:Linux, UNIX, WindowsAuswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:JaRisiko:mittelCVE Liste:CVE-2013-0269, CVE-2013-0276, CVE-2013-0277Bezug:
Beschreibung
Ruby on Rails ist ein in der Programmiersprache Ruby geschriebenes und quelloffenes Web Application Framework.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Ruby on Rails ausnutzen, um SQL-Code zu injizieren, um beliebigen Code mit den Rechten des Dienstes auszuführen, um Sicherheitsfunktionen zu umgehen, um Dateien zu manipulieren oder um einen Denial of Service Zustand herbeizuführen.
Quellen:
- Ruby on Rails Release Notes vom 2013-02-11
- Debian Security Advisory DSA-2620-1 vom 2013-02-12
- Meldung von Jean-Philippe Lang vom 2013-02-13 vom 2013-02-24
- SUSE Security Update SUSE-SU-2013:0486-1 vom 2013-03-19
- Red Hat Security Advisory RHSA-2013:0701-1 vom 2013-04-02
- SUSE Security Update SUSE-SU-2013:0606-1 vom 2013-04-03
- SUSE Security Update SUSE-SU-2013:0606-1 vom 2013-04-03
- SUSE Security Update SUSE-SU-2013:0615-1 vom 2013-04-03
- SUSE Security Update SUSE-SU-2013:0609-1 vom 2013-04-03
- SUSE Security Update SUSE-SU-2013:0612-1 vom 2013-04-03
- SUSE Security Update: Security update for Ruby 1.9 vom 2013-04-09
- SUSE Security Update: Security update for rubygem-json_pure vom 2013-04-09
- SUSE Security Update SUSE-SU-2013:0707-2
- RedHat Security Advisory RHSA-2013-1185 vom 2013-08-29
- Debian Security Advisory DLA 2192 vom 2020-05-01
- Amazon Linux Security Advisory ALAS-2021-1641 vom 2021-05-24