UPDATE: DFN-CERT-2017-0697 Ruby: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][SuSE]

UPDATE: DFN-CERT-2017-0697 Ruby: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (02.05.2017):
Für openSUSE Leap 42.1 und 42.2 stehen Sicherheitsupdates für Ruby
(ruby2.1) auf Version 2.1.9 bereit.
Version 1 (20.04.2017):
Neues Advisory

Betroffene Software:

Ruby < 2.1.9 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 OpenStack Magnum 7 openSUSE Leap 42.1 openSUSE Leap 42.2 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in Ruby (ruby2.1) ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen, Sicherheitsvorkehrungen zu umgehen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die SUSE Linux Enterprise Produkte Software Development Kit, Desktop und Server in den Versionen 12 SP1 und 12 SP2 sowie SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 und OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates auf die Ruby Version 2.1.9 bereit, um diese Schwachstellen zu beheben. Patch: SUSE Security Update SUSE-SU-2017:1067-1 http://lists.suse.com/pipermail/sle-security-updates/2017-April/002820.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1128-1

http://lists.opensuse.org/opensuse-updates/2017-04/msg00112.html

CVE-2016-2339: Schwachstelle in Ruby ermöglicht Ausführung beliebigen
Programmcodes

Die Allokation von Heap-Puffer für ‘arg_types’ basiert in der Funktion
‘initialize’ in ‘Fiddle::Function.new’ auf der Länge des ‘args’-Datenfelds.
Ein entfernter, nicht authentisierter Angreifer kann Objekte, die als
Elemente des ‘args’-Datenfelds an die Funktion ‘initialize’ in
‘Fiddle::Function.new’ weitergegeben werden, so manipulieren, dass sie die
Datenfeldgröße nach Allokation des Speichers vergrößern und dadurch einen
Überlauf auf dem Heap verursachen. Dadurch ist die Ausführung beliebigen
Programmcodes möglich.

CVE-2015-7551: Schwachstelle in Ruby ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Schwachstelle CVE-2009-5147 in Ruby, die aufgrund einer unsicheren
Implementierung für das Laden von Bibliotheken in der Komponente DL besteht,
wurde nur in Ruby 1.9.1 behoben. Andere Ruby-Versionszweige wurden nicht von
diesem Fehler bereinigt. Mit der Reimplementierung von DL durch Fiddle und
libffi ist diese Schwachstelle weiterhin in neueren Ruby Versionen
vorhanden. Dadurch kann ein korrumpierter Bibliotheks-Name verwendet werden,
was das Laden unsicherer Bibliotheken ermöglicht. Ein entfernter, nicht
authentifizierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2015-3900: Schwachstelle in RubyGems ermöglicht DNS-Umleitungsangriff
(DNS Hijack)

Hostnamen werden durch eine Schwachstelle in RubyGems api_endpoint() nicht
ordnungsgemäß überprüft, wenn zusätzliche Pakete geladen oder API-Anfragen
gestartet werden. Das führt dazu, dass das SRV-Feld, in welchem der Hostname
hinterlegt ist, in einer DNS-Abfrage gefälscht zurück an den Aufrufenden
gesendet werden kann, um ihn auf bösartige Webseiten weiterzuleiten. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Benutzer auf beliebige, nicht angefragte Webseiten zu leiten.

CVE-2015-1855: Schwachstelle in Ruby ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der Vergleich von Host-Namen in der OpenSSL-Erweiterung von Ruby ist
fehlerhaft, so dass der Zugriff auf Ressourcen auch dann gewährt wird, wenn
er eigentlich abgelehnt werden müsste. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Sicherheitsvorkehrungen zu umgehen.

CVE-2014-4975: Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in Ruby führt zu einem “off-by-one”-stapelbasierten
Speicherüberlauf in der Funktion “encodes()”. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
partiellen Denial-of-Service (DoS)-Zustand zu bewirken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0697/

Schwachstelle CVE-2014-4975 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4975

Schwachstelle CVE-2015-1855 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1855

Schwachstelle CVE-2015-3900 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3900

Schwachstelle CVE-2015-7551 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7551

Schwachstelle CVE-2016-2339 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2339

SUSE Security Update SUSE-SU-2017:1067-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002820.html

openSUSE Security Update openSUSE-SU-2017:1128-1:
http://lists.opensuse.org/opensuse-updates/2017-04/msg00112.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben