UPDATE: DFN-CERT-2014-0618 Ruby on Rails: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2014-0618 Ruby on Rails: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (06.06.2014):
Für WebYaST 1.3, SUSE Studio Onsite 1.3 und SUSE Lifecycle Management
Server 1.3 stehen Sicherheitsupdates bereit.
Version 1 (19.05.2014):
Neues Advisory

Betroffene Software:

Ruby on Rails 3.2

Betroffene Plattformen:

SUSE Lifecycle Management Server 1.3
SUSE Studio Onsite 1.3
WebYaST 1.3
Debian Linux 7.5 Wheezy

Mehrere Schwachstellen in Ruby on Rails ermöglichen es einem entfernten,
nicht authentifizierten Angreifer, Denial-of-Service- oder
Cross-Site-Scripting-Angriffe durchzuführen oder Informationen auszuspähen.

Patch:

Debian Security Advisory DSA-2929-1

https://www.debian.org/security/2014/dsa-2929

Patch:

SUSE Security Update: SUSE-SU-2014:0756-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140756-1.html

CVE-2014-0130: Schwachstelle in Ruby on Rails

Es existiert eine Directory-Traversal-Schwachstelle in
“actionpack/lib/abstract_controller/base.rb” in der
Implicit-Render-Implementation in Ruby on Rails. Diese Schwachstelle kann
ausgenutzt werden, wenn bestimmte Route-Globbing-Konfigurationen aktiviert
sind. Ein entfernter, nicht authentifizierter Angreifer kann durch eine
speziell präparierte Anfrage beliebige Dateien lesen.

CVE-2014-0082: DoS-Schwachstelle in rubygem-actionpack

Die Verarbeitung von MIME Zeichenketten zu Symbolen durch
actionpack/lib/action_view/template/text.rb in Action View in Ruby on Rails
3.x vor 3.2.17 führt zu erhöhtem Speicherverbrauch, wenn diese Zeichenketten
in Headern eingetragen werden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Angriff durchzuführen.

CVE-2014-0081: Cross-Site-Scripting (XSS)-Schwachstellen in Ruby on Rails

Es existieren mehrere Cross-Site-Scripting (XSS)-Schwachstellen in
actionview/lib/action_view/helpers/number_helper.rb in Ruby on Rails vor
Version 3.2.17, 4.0.x vor Version 4.0.3 und 4.1.x vor Version 4.1.0.beta2,
über die beliebige Skripte oder HTML eingefügt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0618/

Schwachstelle CVE-2014-0081 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0081

Schwachstelle CVE-2014-0082 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0082

Schwachstelle CVE-2014-0130 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0130

Debian Security Advisory DSA-2929-1:
https://www.debian.org/security/2014/dsa-2929

SUSE Security Update: SUSE-SU-2014:0756-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140756-1.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben