Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (10.03.2016):
Debian stellt für die Distributionen Jessie (stable) und Stretch (testing)
Sicherheitsupdates bereit.
Version 1 (08.03.2016):
Neues Advisory
Betroffene Software:
Action Pack
Ruby on Rails <= 3.2.22.1
Ruby on Rails <= 4.1.14.1
Ruby on Rails <= 4.2.5.1
Betroffene Plattformen:
Debian Linux 8.3 Jessie
Debian Linux 9.0 Stretch
GNU/Linux
Red Hat Fedora 22
Red Hat Fedora 23
Zwei Schwachstellen in Action Pack von Ruby on Rails ermöglichen einem
entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen
Programmcodes und das Ausspähen von Informationen über ungeprüfte
Benutzereingaben an die 'render'-Funktion.
Rails Security stellt mit den Versionen Rails 4.2.5.2, 4.1.14.2 und 3.2.22.2
Sicherheitsupdates für die einzelnen Versionszweige bereit, die diese
Schwachstellen beheben. Zusätzlich ist der Versionszweig 4.0.x betroffen.
Rails ist ab Versionszweig 4.2.x nicht mehr von CVE-2016-2097 betroffen.
Für die Distributionen Fedora 22 und 23 stehen mit den Paketen
rubygem-actionpack-4.2.0-4.fc22, rubygem-actionview-4.2.0-5.fc22 und
rubygem-actionpack-4.2.3-5.fc23 sowie rubygem-actionview-4.2.3-5.fc23
Sicherheitsupdates im Status 'pending' bereit, um die Schwachstelle
CVE-2016-2098 zu beheben.
Patch:
Fedora Security Advisory FEDORA-2016-f6af14570f (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f6af14570f
Patch:
Fedora Security Update FEDORA-2016-3954061e32 (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3954061e32
Patch:
Rails 4.2.5.2, 4.1.14.2 und 3.2.22.2 Release Notes
http://weblog.rubyonrails.org/2016/2/29/Rails-4-2-5-2-4-1-14-2-3-2-22-2-have-been-released/
Patch:
Debian Security Advisory DSA-3509-1
https://www.debian.org/security/2016/dsa-3509
CVE-2016-2098: Schwachstelle in RubyGem Action Pack ermöglicht Ausführung
beliebigen Programmcodes
Ruby-on-Rails-Anwendungen, bei denen Benutzereingaben ungeprüft an die
‘render’-Funktion eines Controllers oder Views übergeben werden, sind durch
eine Schwachstelle verwundbar. Durch speziell präparierte Anfrageparameter
kann ein entfernter, nicht authentifizierter Angreifer beliebigen
Ruby-Programmcode ausführen lassen.
CVE-2016-2097: Schwachstelle in RubyGem Action Pack ermöglicht Ausspähen von
Informationen
Ruby-on-Rails-Anwendungen, bei denen Benutzereingaben an die
‘render’-Funktion eines Controllers nicht geprüft werden, sind durch eine
Schwachstelle verwundbar. Diese wurde mit CVE-2016-0752 nicht ausreichend
behandelt, da nicht alle Angriffsszenarien abgedeckt waren. Durch speziell
präparierte Anfragen kann ein entfernter, nicht authentifizierter Angreifer
Dateien von unerwarteten Orten anzeigen lassen, beispielsweise von Orten
außerhalb des ‘Application View’-Verzeichnisses, auf das die
‘render’-Funktion eigentlich beschränkt ist. Möglicherweise lässt sich diese
Schwachstelle darüber hinaus zur Ausführung beliebigen Programmcodes nutzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0404/
Schwachstelle CVE-2016-2097 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2097
Schwachstelle CVE-2016-2098 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2098
Fedora Security Advisory FEDORA-2016-f6af14570f (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f6af14570f
Fedora Security Update FEDORA-2016-3954061e32 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3954061e32
Rails 4.2.5.2, 4.1.14.2 und 3.2.22.2 Release Notes:
http://weblog.rubyonrails.org/2016/2/29/Rails-4-2-5-2-4-1-14-2-3-2-22-2-have-been-released/
Debian Security Advisory DSA-3509-1:
https://www.debian.org/security/2016/dsa-3509
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
