USN-7091-1: Ruby-Schwachstellen

USN-7091-1: Ruby-Schwachstellen

1. November 2024

Mehrere Sicherheitsprobleme wurden in Ruby behoben.

Releases
Ubuntu 24.10 Ubuntu 24.04 LTS Ubuntu 22.04 LTS

Pakete
ruby3.0 - Objektorientierte Skriptsprache
ruby3.2 - Objektorientierte Skriptsprache
ruby3.3 - Objektorientierte Skriptsprache

Details
Es wurde festgestellt, dass Ruby das Parsen eines XML-Dokuments falsch behandelt
das bestimmte XML-Zeichen in einem Attributwert enthält, mit dem REXML gem. Ein
Angreifer könnte dieses Problem ausnutzen, um Ruby zum Absturz zu bringen, was zu einem Denial-of-Service
eines Dienstes führt. Dieses Problem ist nur in Ubuntu 22.04 LTS und Ubuntu 24.04
LTS. (CVE-2024-35176, CVE-2024-39908, CVE-2024-41123)

Es wurde entdeckt, dass Ruby das Parsen eines XML-Dokuments falsch behandelt
das viele Entity-Erweiterungen mit SAX2 oder Pull Parser API hat. Ein Angreifer
Angreifer könnte dieses Problem nutzen, um Ruby zum Absturz zu bringen, was zu einem Denial-of-Service
Dienstes führt. (CVE-2024-41946)

Es wurde entdeckt, dass Ruby das Parsen eines XML-Dokuments
das viele Ziffern in einer hexadezimalen Zeichenreferenz enthält. Ein Angreifer
Angreifer könnte dieses Problem ausnutzen, um Ruby zum Absturz zu bringen, was zu einem Denial-of-Service
Dienstes führt. (CVE-2024-49761)

Anweisungen zur Aktualisierung
Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:

Ubuntu 24.10

• libruby3.3 - 3.3.4-2ubuntu5.1
• ruby3.3 - 3.3.4-2ubuntu5.1
• Ubuntu 24.04
• libruby3.2 - 3.2.3-1ubuntu0.24.04.3
• ruby3.2 - 3.2.3-1ubuntu0.24.04.3
• Ubuntu 22.04
• libruby3.0 - 3.0.2-7ubuntu2.8
• ruby3.0 - 3.0.2-7ubuntu2.8

Im Allgemeinen werden bei einer Standard-Systemaktualisierung alle notwendigen Änderungen vorgenommen.