Kurzinfo CB-K16/0165 Update 6

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: Ruby on Rails: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Datum: 23.03.2016
Software: Red Hat Software Collections 1 RHEL 6, Red Hat Software Collections 1 RHEL 7, Action Pack, Active Model, Active Record, Active Support, Ruby on Rails <= 3.2.22, Ruby on Rails <= 4.1.14, Ruby on Rails <= 4.2.5, Ruby on Rails <= 5.0.0.beta1
Plattform: SUSE OpenStack Cloud 5 , SUSE Lifecycle Management Server 1.3, SUSE Linux Enterprise Software Development Kit 11 SP3, SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Studio Onsite 1.3, SUSE Enterprise Storage 2.1, WebYaST 1.3, openSUSE 13.2, openSUSE Leap 42.1, Red Hat Enterprise Linux 6, Red Hat Enterprise Linux 7, Red Hat Fedora 23
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2015-7576, CVE-2015-7577, CVE-2015-7581, CVE-2016-0751, CVE-2016-0752, CVE-2016-0753
Bezug: Rails Release Notes January 25, 2016
Beschreibung

Die Red Hat Software Collection enthält Programmiersprachen und Datenbanken sowie Frameworks. Red Hat aktualisiert diese Sammlung unabhängig von der jeweiligen Linux Basisversion.

Action Pack behandelt Web-Anfragen in Rails, indem es die Anfrage in einen Logik- und einen Darstellungs-Teil aufspaltet (Model-View-Controller-Ansatz).

Active Model ist eine Satz von Funktionen, der es möglich macht, den Modellansatz von Active Record auf beliebige Klassen von Ruby zu übertragen, ohne dass dazu Datenbanken notwendig sind.

Active Record ist die Implementierung von Datenbanken in Rails und sorgt dafür, dass Datenbanktabellen auf Ruby-Klassen übertragen werden, so dass die Daten im Kontext der Anwendung verarbeitbar sind.

Active Support ist eine Sammlung von Bibliotheken, die die Entwicklung von Rails-Anwendungen und Ruby on Rails an sich unterstützt.

Ruby on Rails ist ein quelloffenes Web Application Framework, das in der Programmiersprache Ruby geschrieben wurde.

In den Modulen (RubyGems) Action Pack, Active Record und Active Model von Ruby on Rails bestehen mehrere Schwachstellen, die einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, Denial-of-Service-Angriffe, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und das Erlangen von Benutzerrechten ermöglichen. Rails Security stellt mit den Versionen Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1 und 3.2.22.1 Sicherheitsupdates für die einzelnen Versionszweige bereit, die diese Schwachstellen beheben. Für die Distribution Fedora 23 stehen mit den Paketen rubygem-activesupport-4.2.3-3.fc23, rubygem-actionview-4.2.3-3.fc23, rubygem-activerecord-4.2.3-2.fc23, rubygem-activemodel-4.2.3-2.fc23 und rubygem-actionpack-4.2.3-4.fc23 Sicherheitsupdates im Status 'testing' und 'pending' bereit. Update: Für SUSE OpenStack Cloud 5 steht ein Sicherheitsupdate für das Paket 'rubygem-actionview-4_1' bereit, welches die Schwachstellen CVE-2016-0751, CVE-2016-0752, CVE-2015-7576 und CVE-2015-7581 adressiert. Ein weiteres Sicherheitsupdate für das Paket 'rubygem-activesupport-4_1' ist notwendig, um ein vorheriges, unvollständiges Update zur Behebung der Schwachstelle CVE-2015-7576 zu vervollständigen.

  1. Rails Release Notes January 25, 2016

  2. Schwachstelle CVE-2015-7576 (NVD)

  3. Schwachstelle CVE-2015-7577 (NVD)

  4. Schwachstelle CVE-2015-7581 (NVD)

  5. Schwachstelle CVE-2016-0751 (NVD)

  6. Schwachstelle CVE-2016-0752 (NVD)

  7. Schwachstelle CVE-2016-0753 (NVD)

  8. Fedora Security Update FEDORA-2016-3ede04cd79 (Fedora 23, rubygem-activesupport)

  9. Fedora Security Update FEDORA-2016-97002ad37b (Fedora 23, rubygem-actionview)

  10. Fedora Security Update FEDORA-2016-cc465a34df (Fedora 23, rubygem-activerecord)

  11. Fedora Security Update FEDORA-2016-eb4d6e8aab (Fedora 23, rubygem-activemodel)

  12. Fedora Security Update FEDORA-2016-f486068393 (Fedora 23, rubygem-actionpack)

  13. openSUSE Security Update openSUSE-SU-2016:0363-1

  14. openSUSE Security Update openSUSE-SU-2016:0372-1

  15. SUSE Security Update SUSE-SU-2016:0456-1

  16. SUSE Security Update SUSE-SU-2016:0457-1

  17. Red Hat Security Advisory RHSA-2016:0296

  18. SUSE Security Update SUSE-SU-2016:0597-1

  19. SUSE Security Update SUSE-SU-2016:0598-1

  20. SUSE Security Update SUSE-SU-2016:0599-1

  21. SUSE Security Update SUSE-SU-2016:0600-1

  22. SUSE Security Update SUSE-SU-2016:0618-1

  23. SUSE Security Update SUSE-SU-2016:0619-1

  24. SUSE Security Update SUSE-SU-2016:0623-1

  25. SUSE Security Update SUSE-SU-2016:0857-1

  26. SUSE Security Update SUSE-SU-2016:0858-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.