Kurzinfo CB-K16/0419

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Ruby on Rails (Action Pack, Active Record): Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes
Datum: 16.03.2016
Software: Red Hat Software Collections 1, Action Pack, Active Record, Ruby on Rails
Plattform: Red Hat Enterprise Linux 6, Red Hat Enterprise Linux 7
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2015-7576, CVE-2015-7577, CVE-2015-7581, CVE-2016-0751, CVE-2016-0752, CVE-2016-2097, CVE-2016-2098
Bezug: Red Hat Security Advisory RHSA-2016:0455
Beschreibung

Die Red Hat Software Collection enthält Programmiersprachen und Datenbanken sowie Frameworks. Red Hat aktualisiert diese Sammlung unabhängig von der jeweiligen Linux Basisversion.

Action Pack behandelt Web-Anfragen in Rails, indem es die Anfrage in einen Logik- und einen Darstellungs-Teil aufspaltet (Model-View-Controller-Ansatz).

Active Record ist die Implementierung von Datenbanken in Rails und sorgt dafür, dass Datenbanktabellen auf Ruby-Klassen übertragen werden, so dass die Daten im Kontext der Anwendung verarbeitbar sind.

Ruby on Rails ist ein quelloffenes Web Application Framework, das in der Programmiersprache Ruby geschrieben wurde.

Mehrere Schwachstellen in den Ruby on Rails Modulen Action Pack und Active Record ermöglichen einem entfernten, nicht authentifizierten Angreifer das Erlangen von Benutzerrechten, Manipulieren von Daten, Ausspähen von Informationen, Ausführen beliebigen Programmcodes und Durchführen von Denial-of-Service-Angriffen. Für Red Hat Software Collections 1 auf Red Hat Enterprise Linux 6 und 7 stehen verschiedene Sicherheitsupdates für die Ruby on Rails Module bereit, die jeweils eine unterschiedliche Kombination der genannten Schwachstellen adressieren.

  1. Schwachstelle CVE-2015-7576 (NVD)

  2. Schwachstelle CVE-2015-7577 (NVD)

  3. Schwachstelle CVE-2015-7581 (NVD)

  4. Schwachstelle CVE-2016-0751 (NVD)

  5. Schwachstelle CVE-2016-0752 (NVD)

  6. Schwachstelle CVE-2016-2097 (NVD)

  7. Schwachstelle CVE-2016-2098 (NVD)

  8. Red Hat Security Advisory RHSA-2016:0454

  9. Red Hat Security Advisory RHSA-2016:0455

  10. Red Hat Security Advisory RHSA-2016:0456

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.