Open Source im professionellen Einsatz

DFN-CERT-2017-1809 Ruby on Rails: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][SuSE][Netzwerk]

13.10.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Ruby on Rails < 4.2.9


Betroffene Plattformen:

SUSE OpenStack Cloud 6
SUSE OpenStack Cloud 7
SUSE Enterprise Storage 3
SUSE Enterprise Storage 4



Mehrere Schwachstellen in Ruby on Rails ermöglichen einem entfernten, nicht
authentisierten Angreifer die Ausführung beliebigen Programmcodes, die
Generierung unsicherer Anfragen sowie die Durchführung eines
Cross-Site-Scripting (XSS)-Angriffs.

Für SUSE OpenStack Cloud 6 und 7 sowie SUSE Enterprise Storage 3 und 4 steht
der Ruby on Rails Stack in der Version 4.2.9 als Sicherheitsupdate bereit.


Patch:

SUSE Security Update SUSE-SU-2017:2716-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-October/003293.html>


CVE-2016-6317: Schwachstelle in RubyGem Active Record ermöglicht Generierung
unsicherer Anfragen

In Ruby on Rails werden Unterschiede bei der Parameterbehandlung zwischen
der 'Active Record'-Komponente und der JSON-Implementierung nicht korrekt
berücksichtigt. Einem entfernten, nicht authentifizierten Angreifer ist es
damit möglich, Beschränkungen für Datenbankanfragen zu umgehen, um so
NULL-Prüfungen durchzuführen oder mittels präparierter Anfragen
WHERE-Klauseln von SQL-Statements zu entfernen.


CVE-2016-6316: Schwachstelle in RubyGem Action View ermöglicht
Cross-Site-Scripting-Angriff

In RubyGem Action View existiert eine Cross-Site-Scripting-Schwachstelle bei
der Verwendung von 'HTML safe'-markierten Texten als Attribute in 'Tag
Helpers', weil diese unzureichend bereinigt ('escaped') werden. Ein
entfernter, nicht authentisierter Anwender kann durch Ausnutzen der
Schwachstelle einen Cross-Site-Scripting-Angriff durchführen.


CVE-2016-2098: Schwachstelle in RubyGem Action Pack ermöglicht Ausführung
beliebigen Programmcodes

Ruby-on-Rails-Anwendungen, bei denen Benutzereingaben ungeprüft an die
'render'-Funktion eines Controllers oder Views übergeben werden, sind durch
eine Schwachstelle verwundbar. Durch speziell präparierte Anfrageparameter
kann ein entfernter, nicht authentifizierter Angreifer beliebigen
Ruby-Programmcode ausführen lassen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1809/>

Schwachstelle CVE-2016-2098 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2098>

Schwachstelle CVE-2016-6316 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6316>

Schwachstelle CVE-2016-6317 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6317>

SUSE Security Update SUSE-SU-2017:2716-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-October/003293.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.