Kurzinfo CB-K16/0372 Update 3

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: Ruby on Rails: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 23.03.2016
Software: Action Pack, Ruby on Rails <= 3.2.22.1, Ruby on Rails <= 4.1.14.1, Ruby on Rails <= 4.2.5.1
Plattform: SUSE OpenStack Cloud 5, Debian Linux 8.3 Jessie, Debian Linux 9.0 Stretch, GNU/Linux, openSUSE 13.2, Red Hat Fedora 22, Red Hat Fedora 23
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2016-2097, CVE-2016-2098
Bezug: Fedora Security Advisory FEDORA-2016-f6af14570f (Fedora 23)
Beschreibung

Action Pack behandelt Web-Anfragen in Rails, indem es die Anfrage in einen Logik- und einen Darstellungs-Teil aufspaltet (Model-View-Controller-Ansatz).

Ruby on Rails ist ein quelloffenes Web Application Framework, das in der Programmiersprache Ruby geschrieben wurde.

Zwei Schwachstellen in Action Pack von Ruby on Rails ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes und das Ausspähen von Informationen über ungeprüfte Benutzereingaben an die 'render'-Funktion. Rails Security stellt mit den Versionen Rails 4.2.5.2, 4.1.14.2 und 3.2.22.2 Sicherheitsupdates für die einzelnen Versionszweige bereit, die diese Schwachstellen beheben. Zusätzlich ist der Versionszweig 4.0.x betroffen. Rails ist ab Versionszweig 4.2.x nicht mehr von CVE-2016-2097 betroffen. Für die Distributionen Fedora 22 und 23 stehen mit den Paketen rubygem-actionpack-4.2.0-4.fc22, rubygem-actionview-4.2.0-5.fc22 und rubygem-actionpack-4.2.3-5.fc23 sowie rubygem-actionview-4.2.3-5.fc23 Sicherheitsupdates im Status 'pending' bereit, um die Schwachstelle CVE-2016-2098 zu beheben. Update: Für SUSE OpenStack Cloud 5 steht ein Sicherheitsupdate für das Paket rubygem-actionview-4_1 bereit.

  1. Schwachstelle CVE-2016-2097 (NVD)

  2. Schwachstelle CVE-2016-2098 (NVD)

  3. Fedora Security Advisory FEDORA-2016-f6af14570f (Fedora 23)

  4. Fedora Security Update FEDORA-2016-3954061e32 (Fedora 22)

  5. Rails 4.2.5.2, 4.1.14.2 und 3.2.22.2 Release Notes

  6. Debian Security Advisory DSA-3509-1

  7. openSUSE Security Update openSUSE-SU-2016:0835-1

  8. SUSE Security Update SUSE-SU-2016:0854-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.