Kurzinfo CB-K16/0165 Update 2

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Ruby on Rails: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Datum: 16.02.2016
Software: Action Pack, Active Model, ActiveRecord, Ruby on Rails <= 3.2.22, Ruby on Rails <= 4.1.14, Ruby on Rails <= 4.2.5, Ruby on Rails <= 5.0.0.beta1
Plattform: SUSE Enterprise Storage 2.1, openSUSE 13.2, openSUSE Leap 42.1, Red Hat Fedora 23
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2015-7576, CVE-2015-7577, CVE-2015-7581, CVE-2016-0751, CVE-2016-0752, CVE-2016-0753
Bezug: Rails Release Notes January 25, 2016
Beschreibung

Action Pack behandelt Web-Anfragen in Rails, indem es die Anfrage in einen Logik- und einen Darstellungs-Teil aufspaltet (Model-View-Controller-Ansatz).

Active Model ist eine Satz von Funktionen, der es möglich macht, den Modellansatz von Active Record auf beliebige Klassen von Ruby zu übertragen, ohne dass dazu Datenbanken notwendig sind.

ActiveSupport ist die Implementierung von Datenbanken in Rails und sorgt dafür, dass Datenbanktabellen auf Ruby-Klassen übertragen werden, so dass die Daten im Kontext der Anwendung verarbeitbar sind.

Ruby on Rails ist ein quelloffenes Web Application Framework, das in der Programmiersprache Ruby geschrieben wurde.

In den Modulen (RubyGems) Action Pack, Active Record und Active Model von Ruby on Rails bestehen mehrere Schwachstellen, die einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, Denial-of-Service-Angriffe, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und das Erlangen von Benutzerrechten ermöglichen. Rails Security stellt mit den Versionen Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1 und 3.2.22.1 Sicherheitsupdates für die einzelnen Versionszweige bereit, die diese Schwachstellen beheben. Für die Distribution Fedora 23 stehen mit den Paketen rubygem-activesupport-4.2.3-3.fc23, rubygem-actionview-4.2.3-3.fc23, rubygem-activerecord-4.2.3-2.fc23, rubygem-activemodel-4.2.3-2.fc23 und rubygem-actionpack-4.2.3-4.fc23 Sicherheitsupdates im Status 'testing' und 'pending' bereit. Update: SUSE stellt ein Sicherheitsupdate für RubyGems Action Pack 4.2 zur Behebung der Schwachstellen CVE-2016-0751, CVE-2016-0752, CVE-2015-7581 und CVE-2015-7576 sowie ein Sicherheitsupdate für RubyGems Action View 4.2 zur Behebung der Schwachstelle CVE-2016-0752 für SUSE Enterprise Storage 2.1 bereit. Die Schwachstelle CVE-2015-7576 wurde mit SUSE-SU-2016:0435-1 auch bereits gesondert für RubyGem ActiveSupport 4.2 adressiert.

  1. Rails Release Notes January 25, 2016

  2. Schwachstelle CVE-2015-7576 (NVD)

  3. Schwachstelle CVE-2015-7577 (NVD)

  4. Schwachstelle CVE-2015-7581 (NVD)

  5. Schwachstelle CVE-2016-0751 (NVD)

  6. Schwachstelle CVE-2016-0752 (NVD)

  7. Schwachstelle CVE-2016-0753 (NVD)

  8. Fedora Security Update FEDORA-2016-3ede04cd79 (Fedora 23, rubygem-activesupport)

  9. Fedora Security Update FEDORA-2016-97002ad37b (Fedora 23, rubygem-actionview)

  10. Fedora Security Update FEDORA-2016-cc465a34df (Fedora 23, rubygem-activerecord)

  11. Fedora Security Update FEDORA-2016-eb4d6e8aab (Fedora 23, rubygem-activemodel)

  12. Fedora Security Update FEDORA-2016-f486068393 (Fedora 23, rubygem-actionpack)

  13. openSUSE Security Update openSUSE-SU-2016:0363-1

  14. openSUSE Security Update openSUSE-SU-2016:0372-1

  15. SUSE Security Update SUSE-SU-2016:0456-1

  16. SUSE Security Update SUSE-SU-2016:0457-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.