Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

jquery-rails

Betroffene Plattformen:

Red Hat Fedora 21
Red Hat Fedora 22

Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht
authentisierter Angreifer Sicherheitsmaßnahmen umgehen und weitere Angriffe
vorbereiten. Für Fedora 21 und Fedora 22 stehen Sicherheitsupdates in Form
der Pakete rubygem-jquery-rails-3.1.0-3.fc21, bzw.
rubygem-jquery-rails-3.1.0-3.fc22 im Status ‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2015-10144

https://admin.fedoraproject.org/updates/FEDORA-2015-10144/rubygem-jquery-rails-3.1.0-3.fc21

Patch:

Fedora Security Update FEDORA-2015-10258

https://admin.fedoraproject.org/updates/FEDORA-2015-10258/rubygem-jquery-rails-3.1.0-3.fc22

CVE-2015-1840: Eine Schwachstelle in jquery-rails erlaubt
Cross-Site-Request-Forgery

Eine Schwachstelle in jquery-ujs und jquery-rails besteht darin, dass
jquery-ujs nicht hinreichend auf Cross-Domain-Anfragen prüft. Dadurch ist es
möglich, dass durch einen Cross-Site-Request-Forgery (CSRF)-Angriff Token
abgegriffen und verändert werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0906/

Fedora Security Update FEDORA-2015-10144:
https://admin.fedoraproject.org/updates/FEDORA-2015-10144/rubygem-jquery-rails-3.1.0-3.fc21

Fedora Security Update FEDORA-2015-10258:
https://admin.fedoraproject.org/updates/FEDORA-2015-10258/rubygem-jquery-rails-3.1.0-3.fc22

Schwachstelle CVE-2015-1840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1840

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.