DFN-CERT-2016-0178 Ruby on Rails: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2016-0178 Ruby on Rails: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Action Pack
Active Model
ActiveRecord
Ruby on Rails <= 3.2.22 Ruby on Rails <= 4.1.14 Ruby on Rails <= 4.2.5 Ruby on Rails <= 5.0.0.beta1 Betroffene Plattformen: Red Hat Fedora 23 In den Modulen (RubyGems) Action Pack, Active Record und Active Model von Ruby on Rails bestehen mehrere Schwachstellen, die einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, Denial-of-Service-Angriffe, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und das Erlangen von Benutzerrechten ermöglichen. Rails Security stellt mit den Versionen Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1 und 3.2.22.1 Sicherheitsupdates für die einzelnen Versionszweige bereit, die diese Schwachstellen beheben. Für die Distribution Fedora 23 stehen mit den Paketen rubygem-activesupport-4.2.3-3.fc23, rubygem-actionview-4.2.3-3.fc23, rubygem-activerecord-4.2.3-2.fc23, rubygem-activemodel-4.2.3-2.fc23 und rubygem-actionpack-4.2.3-4.fc23 Sicherheitsupdates im Status 'testing' und 'pending' bereit. Patch: Rails Release Notes January 25, 2016 http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-html-sanitizer-1-0-3-have-been-released/

Patch:

Fedora Security Update FEDORA-2016-3ede04cd79 (Fedora 23,
rubygem-activesupport)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-3ede04cd79

Patch:

Fedora Security Update FEDORA-2016-97002ad37b (Fedora 23,
rubygem-actionview)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-97002ad37b

Patch:

Fedora Security Update FEDORA-2016-cc465a34df (Fedora 23,
rubygem-activerecord)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-cc465a34df

Patch:

Fedora Security Update FEDORA-2016-eb4d6e8aab (Fedora 23,
rubygem-activemodel)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-eb4d6e8aab

Patch:

Fedora Security Update FEDORA-2016-f486068393 (Fedora 23,
rubygem-actionpack)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-f486068393

CVE-2016-0753: Schwachstelle in RubyGem Active Model ermöglicht Umgehen von
Sicherheitsvorkehrungen

Anwendungen, in denen Benutzereingaben nicht validiert werden, bevor diese
durch Active Model an das Modell weitergeleitet werden, sind durch speziell
präparierte Eingangsdaten verwundbar. Diese Eingangsdaten können so
vorbereitet werden, dass die Validierung auch im nachfolgenden Modell
ausgelassen wird. Ein entfernter, nicht authentifizierter Angreifer kann
dadurch insbesondere Sicherheitsvorkehrungen in Anwendungen umgehen, die
Active Model außerhalb von Rails-Umgebungen nutzen.

CVE-2016-0752: Schwachstelle in RubyGem Action Pack ermöglicht Ausspähen von
Informationen

Ruby-on-Rails-Anwendungen, bei denen Benutzereingaben an die
‘render’-Funktion eines Controllers nicht geprüft werden, sind durch eine
Schwachstelle verwundbar. Durch speziell präparierte Anfragen kann ein
entfernter, nicht authentifizierter Angreifer Dateien von unerwarteten Orten
anzeigen lassen, beispielsweise von außerhalb des ‘Application
View’-Verzeichnisses, auf das die ‘render’-Funktion beschränkt ist.
Möglicherweise lässt sich diese Schwachstelle darüber hinaus zur Ausführung
beliebigen Programmcodes nutzen.

CVE-2016-0751: Schwachstelle in RubyGem Action Pack ermöglicht
Denial-of-Service-Angriff

Durch speziell präparierte Kopfdaten von Anfragen (Accept Header) kann der
Pufferspeicher für MIME-Typen unbegrenzt wachsen. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch einen Denial-of-Service-Angriff
ausführen.

CVE-2015-7581: Schwachstelle in RubyGem Action Pack ermöglicht
Denial-of-Service-Angriff

Werden bei der Erstellung der Anwendung Routen, die die Zeichenfolge
‘:controller’ beinhalten, erstellt, kann ein Fehler in der Programmierung
von Action Pack zu unlimitierter Speichernutzung führen. Action Pack
speichert in dem Fall die Verbindung von ‘url controller name’ zu
‘controller class name’ global zwischen, auch wenn die Controller-Klasse
nicht existiert. Ein entfernter, nicht authentifizierter Angreifer kann
einen Denial-of-Service-Angriff ausführen.

CVE-2015-7577: Schwachstelle in RubyGem Active Record ermöglicht
Manipulation von Dateien

Verschachtelte Attribute erlauben es in Rails, Attribute von
Datenbankeinträgen über das Elternobjekt zu sichern. So können
beispielsweise Datenbankeinträge vom Typ ‘Zutat’ im Kontext des
Elternobjekts ‘Rezept’ über Active Record erzeugt werden. Falls die Option
‘allow_destroy: false’ in ‘accepts_nested_attributes_for’ gesetzt ist, führt
ein Fehler im Programmcode dazu, dass Änderungen an Datensätzen, die vom
Elternobjekt zurückgewiesen würden, dennoch angewendet werden. Ein
entfernter, nicht authentifizierter Angreifer kann Dateien manipulieren und
darüber hinaus weitere Angriffe ausführen, die von der Implementierung der
Verschachtelung in der Anwendung abhängen.

CVE-2015-7576: Schwachstelle in RubyGem Action Pack ermöglicht Erlangen von
Benutzerrechten

Durch die Art und Weise, wie Action Controller Benutzernamen und Passwörter
vergleicht, besteht eine Schwachstelle im Programmcode zur Authentifizierung
und Autorisierung von Ruby on Rails. Durch Analyse der Antwortzeiten des
Systems auf verschiedene Vergleichsanfragen von Zeichenketten, ist es
möglich, Benutzereingaben, wie Benutzername und Passwort, im
Authentifizierungssystem zu erraten (beispielsweise ist der Vergleich ‘”foo”
== “bar”‘ wahrscheinlich schneller als ‘”foo” == “fo1″‘). Ein entfernter,
nicht authentifizierter Angreifer kann Zugangsdaten eines Benutzers erraten
und damit Benutzerrechte im Kontext der Anwendung erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0178/

Rails Release Notes January 25, 2016:
http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-html-sanitizer-1-0-3-have-been-released/

Schwachstelle CVE-2015-7576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7576

Schwachstelle CVE-2015-7577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7577

Schwachstelle CVE-2015-7581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7581

Schwachstelle CVE-2016-0751 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0751

Schwachstelle CVE-2016-0752 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0752

Schwachstelle CVE-2016-0753 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0753

Fedora Security Update FEDORA-2016-3ede04cd79 (Fedora 23,
rubygem-activesupport):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3ede04cd79

Fedora Security Update FEDORA-2016-97002ad37b (Fedora 23, rubygem-actionview):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-97002ad37b

Fedora Security Update FEDORA-2016-cc465a34df (Fedora 23,
rubygem-activerecord):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-cc465a34df

Fedora Security Update FEDORA-2016-eb4d6e8aab (Fedora 23, rubygem-activemodel):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-eb4d6e8aab

Fedora Security Update FEDORA-2016-f486068393 (Fedora 23, rubygem-actionpack):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f486068393

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben