Ruby-Entwickler beheben kritische Fehler
Im schlimmsten Fall können Angreifer beliebigen Code einschleusen und ausführen.
Im schlimmsten Fall können Angreifer beliebigen Code einschleusen und ausführen. Viel mehr erfährt man nicht über die fünf Sicherheitsprobleme, die die Entwickler der beliebten interpretierten Sprache Ruby mit einem Update beheben. Das Open-Source-Projekt gibt sich verschlossen; nicht einmal, welche Arten von Anwendungen betroffen sind, wird verraten.
Die Sicherheitsnotiz führt insgesamt fünf CVE-Nummern auf, deren verlinkte Seiten jedoch ebenfalls keine weitergehenden Informationen preisgeben. Betroffen sind die Ruby-Pakte 1.8.4, 1.8.5-p230, 1.8.6-p229, 1.8.7-p21, 1.9.0-1 und deren Vorgänger. Die jeweils für 1.8.[567] und 1.9 bereitgestellten Updates beheben nebenbei auch noch ein Problem in WEBrick, das es erlaubt, CGI-Programme auszulesen.
Siehe dazu auch:
- Arbitrary code execution vulnerabilities, Sicherheitsnotiz des Ruby-Teams
(ju)
