DFN-CERT-2014-1101 Ruby on Rails: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2014-1101 Ruby on Rails: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Ruby on Rails <= 4.0.8 Ruby on Rails <= 4.1.4 Betroffene Plattformen: Red Hat Fedora 20 Durch eine Schwachstelle in Ruby on Rails ist es einem entfernten, nicht authentifizierten Angreifer möglich, Sicherheitsvorkehrungen zu umgehen. Patch: Fedora Security Update FEDORA-2014-9706 https://admin.fedoraproject.org/updates/FEDORA-2014-9706/rubygem-activerecord-4.0.0-5.fc20

CVE-2014-3514: Schwachstelle in Ruby on Rails ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in “Active Record” in der
“activerecord/lib/active_record/relation/query_methods.rb” in Ruby on Rails
4.0.x vor Version 4.0.9 und 4.1.x vor Version 4.1.5. Ein entfernter, nicht
authentifizierter Angreifer kann den starken Parameter Schutzmechanismus
umgehen, indem er präparierte Eingaben in eine Anwendung tätigt, die
“create_with”-Aufrufe ausführt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1101/

Schwachstelle CVE-2014-3514 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3514

Fedora Security Update FEDORA-2014-9706:
https://admin.fedoraproject.org/updates/FEDORA-2014-9706/rubygem-activerecord-4.0.0-5.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben