Kurzinfo CB-K16/0238

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: RubyGem Active Support: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und das Erlangen von Benutzerrechten
Datum: 12.02.2016
Software: Action Pack, Active Model
Plattform: SUSE Enterprise Storage 2.1
Auswirkung: Erlangen von Benutzerrechten
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2015-7576, CVE-2016-0753
Bezug: SUSE Security Update SUSE-SU-2016:0435-1
Beschreibung

Action Pack behandelt Web-Anfragen in Rails, indem es die Anfrage in einen Logik- und einen Darstellungs-Teil aufspaltet (Model-View-Controller-Ansatz).

Active Model ist eine Satz von Funktionen, der es möglich macht, den Modellansatz von Active Record auf beliebige Klassen von Ruby zu übertragen, ohne dass dazu Datenbanken notwendig sind.

In den Modulen (RubyGems) Active Model und Action Pack von Ruby on Rails existieren zwei Schwachstellen, die einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen bzw. Erlangen von Benutzerrechten ermöglichen. Für SUSE Enterprise Storage 2.1 steht ein Sicherheitsupdate für RubyGem Active Support 4.2 zur Verfügung, welches die Module enthält. Die Schwachstelle CVE-2016-0753 in RubyGem Active Model wurde auch bereits mit SUSE-SU-2016:0432-1 gesondert adressiert.

  1. Schwachstelle CVE-2015-7576 (NVD)

  2. Schwachstelle CVE-2016-0753 (NVD)

  3. SUSE Security Update SUSE-SU-2016:0435-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.