15.08.2008 10:18
Die Entwickler der populären Skriptsprache Ruby haben auf mehrere Schwachstellen hingewiesen, die in in den aktuellen Versionen Ruby 1.8.7-p72 und 1.8.6-p287 behoben sind. So finden sich in den Ausgaben vor diesen Versionen Fehler in der Implementierung der Safe-Level, durch die ein Angreifer die Restriktionen umgehen kann.
Darüber hinaus kann ein Fehler in der Funktion WEBrick::HTTPUtils.split_header_value bei der Auswertung bestimmter Header mit Regular Expressions zu einer sehr hohen CPU-Last führen, in deren Folge ein betroffenes System nur noch sehr langsam reagiert. Zudem prüft der Dynamic Linker (DL) den Taint-Status beim Laden von Objekten nicht, sodass laut Bericht ein Angreifer potenziell gefährliche Funktionen aufrufen kann.
Außerdem nutzt das Skript resolv.rb beim Auflösen von Hostnamen zu IP-Adressen keine zufälligen Ports und ist damit für Cache-Poisoning-Angriffe verwundbar. Die Entwickler empfehlen, so bald wir möglich auf die neuen Versionen von Ruby zu wechseln.
Siehe dazu auch:
(dab)
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-196125
