Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 8 (16.12.2015):
Für SUSE OpenStack Cloud 5 steht ein Sicherheitsupdate zur Verfügung.
Version 7 (04.12.2015):
Für SUSE Linux Enterprise Module for Containers 12, SUSE Enterprise
Storage 2 und 1.0 stehen Sicherheitsupdates zur Verfügung.
Version 6 (20.11.2015):
Red Hat stellt für Red Hat Enterprise Linux High Availability 7 und Red
Hat Enterprise Linux Resilient Storage 7 Sicherheitsupdates zur Verfügung.
Version 5 (03.11.2015):
SUSE stellt für Lifecycle Management Server 1.3 und Linux Enterprise
Software Development Kit 11 SP3 weitere Sicherheitsupdates bereit.
Version 4 (10.09.2015):
SUSE stellt für Webyast 1.3, Studio Onsite 1.3, Lifecycle Management
Server 1.3 und Linux Enterprise Software Development Kit 11 SP3 und SP4
Sicherheitsupdates bereit.
Version 3 (07.08.2015):
Für die Distributionen Fedora 21 und Fedora 22 stehen Sicherheitsupdates
in Form der Pakete rubygem-rack-1.5.2-5.fc21 bzw.
rubygem-rack-1.6.1-2.fc22 im Status ‘testing’ zur Verfügung.
Version 2 (03.08.2015):
Debian hat Sicherheitsupdates für Debian 7.8 (Wheezy) und 8.1 (Jessie)
veröffentlicht.
Version 1 (22.07.2015):
Neues Advisory
Betroffene Software:
Rack <= 1.3.10 Rack <= 1.4.5 Rack <= 1.5.2 Betroffene Plattformen: SUSE Lifecycle Management Server 1.3 SUSE Linux Enterprise Module for Containers 12 SUSE Linux Enterprise Software Development Kit 11 SP3 SUSE Linux Enterprise Software Development Kit 11 SP4 Enterprise Linux High Availability 7 Enterprise Linux Resilient Storage 7 SUSE Studio Onsite 1.3 SUSE Cloud 5 Openstack SUSE Enterprise Storage 1.0 SUSE Enterprise Storage 2 WebYaST 1.3 Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 21 Red Hat Fedora 22 Durch Ausnutzen einer Schwachstelle kann ein entfernter, nicht authentisierter Angreifer einen Denial-of-Service-Angriff durchführen. Für die Distributionen openSUSE 13.1 und 13.2 werden verschiedene Sicherheitsupdates zur Verfügung gestellt, um diese Schwachstelle zu beheben. Patch: openSUSE Security Update openSUSE-SU-2015:1259-1 http://lists.opensuse.org/opensuse-updates/2015-07/msg00040.html
Patch:
openSUSE Security Update openSUSE-SU-2015:1262-1
http://lists.opensuse.org/opensuse-updates/2015-07/msg00043.html
Patch:
openSUSE Security Update openSUSE-SU-2015:1263-1
http://lists.opensuse.org/opensuse-updates/2015-07/msg00044.html
Patch:
Debian Security Advisory DSA-3322-1
https://www.debian.org/security/2015/dsa-3322
Patch:
Fedora Security Update FEDORA-2015-12978
https://admin.fedoraproject.org/updates/FEDORA-2015-12978/rubygem-rack-1.6.1-2.fc22
Patch:
Fedora Security Update FEDORA-2015-12979
https://admin.fedoraproject.org/updates/FEDORA-2015-12979/rubygem-rack-1.5.2-5.fc21
Patch:
SUSE Security Update SUSE-SU-2015:1522-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151522-1.html
Patch:
SUSE Security Update SUSE-SU-2015:1888-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151888-1.html
Patch:
Red Hat Security Advisory RHSA-2015:2290
http://rhn.redhat.com/errata/RHSA-2015-2290.html
Patch:
SUSE Security Update SUSE-SU-2015:2190-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152190-1.html
Patch:
SUSE Security Update SUSE-SU-2015:2274-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152274-1.html
CVE-2015-3225: Schwachstelle in Rack ermöglicht Denial-of-Service-Angriffe
Eine Schwachstelle in der Funktion normalize_params() in lib/rack/utils.rb
in Rack bevor 1.5.4 und 1.6.x bevor 1.6.2, wie verwendet mit Ruby on Rails
3.x und 4.x und anderen Produkten, ermöglicht einem Angreifer, indem er
speziell präparierte Requests an die Anwendung schickt, einen
“SystemStackError” zu verursachen und möglicherweise für den Dienst einen
Denial-of-Service (DoS)-Zustand herbeizuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1092/
openSUSE Security Update openSUSE-SU-2015:1259-1:
http://lists.opensuse.org/opensuse-updates/2015-07/msg00040.html
openSUSE Security Update openSUSE-SU-2015:1262-1:
http://lists.opensuse.org/opensuse-updates/2015-07/msg00043.html
openSUSE Security Update openSUSE-SU-2015:1263-1:
http://lists.opensuse.org/opensuse-updates/2015-07/msg00044.html
Schwachstelle CVE-2015-3225 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3225
Debian Security Advisory DSA-3322-1:
https://www.debian.org/security/2015/dsa-3322
Fedora Security Update FEDORA-2015-12978:
https://admin.fedoraproject.org/updates/FEDORA-2015-12978/rubygem-rack-1.6.1-2.fc22
Fedora Security Update FEDORA-2015-12979:
https://admin.fedoraproject.org/updates/FEDORA-2015-12979/rubygem-rack-1.5.2-5.fc21
SUSE Security Update SUSE-SU-2015:1522-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151522-1.html
SUSE Security Update SUSE-SU-2015:1888-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151888-1.html
Red Hat Security Advisory RHSA-2015:2290:
http://rhn.redhat.com/errata/RHSA-2015-2290.html
SUSE Security Update SUSE-SU-2015:2190-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152190-1.html
SUSE Security Update SUSE-SU-2015:2274-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152274-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
