Kurzinfo CB-K16/0166

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Ruby on Rails: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Datum: 01.02.2016
Software: Action Pack, Active Model, ActiveRecord, Ruby on Rails <= 3.2.22, Ruby on Rails <= 4.1.14, Ruby on Rails <= 4.2.5, Ruby on Rails <= 5.0.0.beta1
Plattform: Debian Linux 8.2 Jessie
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2015-3226, CVE-2015-3227, CVE-2015-7576, CVE-2015-7577, CVE-2015-7581, CVE-2016-0751, CVE-2016-0752, CVE-2016-0753
Bezug: Debian Security Advisory DSA-3464-1
Beschreibung

Action Pack behandelt Web-Anfragen in Rails, indem es die Anfrage in einen Logik- und einen Darstellungs-Teil aufspaltet (Model-View-Controller-Ansatz).

Active Model ist eine Satz von Funktionen, der es möglich macht, den Modellansatz von Active Record auf beliebige Klassen von Ruby zu übertragen, ohne dass dazu Datenbanken notwendig sind.

ActiveSupport ist die Implementierung von Datenbanken in Rails und sorgt dafür, dass Datenbanktabellen auf Ruby-Klassen übertragen werden, so dass die Daten im Kontext der Anwendung verarbeitbar sind.

Ruby on Rails ist ein quelloffenes Web Application Framework, das in der Programmiersprache Ruby geschrieben wurde.

In den Modulen (RubyGems) Action Pack, Active Record und Active Model von Ruby on Rails bestehen mehrere Schwachstellen, die einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, Denial-of-Service- und Cross-Site-Scripting-Angriffe, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und das Erlangen von Benutzerrechten ermöglichen. Für die Distribution Debian Jessie (stable) stehen Sicherheitsupdates bereit.

  1. Schwachstelle CVE-2015-3226 (NVD)

  2. Schwachstelle CVE-2015-3227 (NVD)

  3. Schwachstelle CVE-2015-7576 (NVD)

  4. Schwachstelle CVE-2015-7577 (NVD)

  5. Schwachstelle CVE-2015-7581 (NVD)

  6. Schwachstelle CVE-2016-0751 (NVD)

  7. Schwachstelle CVE-2016-0752 (NVD)

  8. Schwachstelle CVE-2016-0753 (NVD)

  9. Debian Security Advisory DSA-3464-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.