DFN-CERT-2016-0227 RubyGem Rails HTML Sanitizer: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe [Linux][SuSE]

DFN-CERT-2016-0227 RubyGem Rails HTML Sanitizer: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Rails Html Sanitizer <= 1.0.2 Betroffene Plattformen: openSUSE Leap 42.1 Mehrere Schwachstellen im RubyGem Rails HTML Sanitizer ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen von Cross-Site-Scripting-Angriffen. Die Schwachstelle CVE-2015-7579 betrifft nur die Programmversion 1.0.2. Für die Distribution openSUSE Leap 42.1 stehen Sicherheitsupdates zur Verfügung. Patch: Rails Release Notes January 25, 2016 http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-html-sanitizer-1-0-3-have-been-released/

Patch:

openSUSE Security Update openSUSE-SU-2016:0356-1

http://lists.opensuse.org/opensuse-updates/2016-02/msg00027.html

CVE-2015-7580: Schwachstelle in RubyGem Rails HTML Sanitizer ermöglicht
Cross-Site-Scripting-Angriff

Durch die Positivliste im Rails HTML Sanitizer ist es möglich, die
HTML-Bereinigung von Zeichendaten (CDATA) durch speziell präparierte
Eingaben zu umgehen. Ein entfernter, nicht authentifizierter Angreifer kann
dadurch einen Cross-Site-Scripting-Angriff (XSS) ausführen.

CVE-2015-7579: Schwachstelle in RubyGem Rails HTML Sanitizer ermöglicht
Cross-Site-Scripting-Angriff

Die Funktion ‘strip_tags’ (Action View) macht durch den HTML-Sanitizer
maskierten (‘escaped’) Programmcode wieder ausführbar, wenn sie zusammen mit
den Zeichenketten-Funktionen ‘raw’ oder ‘html_safe’ verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch einen
Cross-Site-Scripting-Angriff (XSS) ausführen.

CVE-2015-7578: Schwachstelle in RubyGem Rails HTML Sanitizer ermöglicht
Cross-Site-Scripting-Angriff

Der Rails HTML-Sanitizer entfernt bestimmte Attribute nicht aus
HTML-Elementen. Ein entfernter, nicht authentifizierter Angreifer kann das
für einen Cross-Site-Scripting-Angriff (XSS) nutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0227/

Rails Release Notes January 25, 2016:
http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-html-sanitizer-1-0-3-have-been-released/

Schwachstelle CVE-2015-7579 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7579

Schwachstelle CVE-2015-7580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7580

openSUSE Security Update openSUSE-SU-2016:0356-1:
http://lists.opensuse.org/opensuse-updates/2016-02/msg00027.html

Schwachstelle CVE-2015-7578 (NVD):
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7578

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben