Ruby: Updates beheben Sicherheitslücken

Von Ruby sind zwei neue Updates erschienen, die mehrere Schwachstellen in der Skriptsprache beseitigen. Die Vorgängerversionen enthalten u.a. einen Fehler in der Implementierung der Safe-Level. Dadurch können Angreifer die Restriktionen umgehen. Ein weiteres Problem bei der Auswertung bestimmter Header mit Regular Expressions, führt zu einer sehr hohen CPU-Last, so dass betroffene Systeme nur noch langsam arbeiten können. Der Dynamic Linker (DL) prüft beim Laden von Objekten nicht den Taint-Status, wodurch Angreifer eventuell gefährliche Funktionen aufrufen können. Da das Skript resolv.rb beim Auflösen von Hostnamen zu IP-Adressen keine zufälligen Ports verwendet, sind zudem Cache-Poisoning-Angriffe möglich. Mehr Informationen zu den Sicherheitslücken enthält der Fehlerbericht. Anwender sollten schnellstmöglich auf die neuen Versionen 1.8.7-p72 und 1.8.6-p287 umsteigen, die bereits zum Download bereit stehen.

0 Kommentar(e)

Zum Posten von Kommentaren bitte