DFN-CERT-2017-1224 Rack CORS: Eine Schwachstelle ermöglicht u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2017-1224 Rack CORS: Eine Schwachstelle ermöglicht u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Rack CORS < 0.4.1 Betroffene Plattformen: Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle bei der Validierung von Domänennamen mit Hilfe von regulären Ausdrücken in Rack CORS ermöglicht es einem einfach authentisierten Angreifer im benachbarten Netzwerk Beschränkungen für das Cross-Origin Resource Sharing (CORS) zu umgehen und CORS-Anfragen mit einer bösartigen Webseite durchzuführen. Für Fedora 25 und Fedora EPEL 7 steht Rack CORS in der Version 0.4.1 als Sicherheitsupdate im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-c22a8af4e9 (Fedora 25, rubygem-rack-cors-0.4.1-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-c22a8af4e9

Patch:

Fedora Security Update FEDORA-EPEL-2017-64c36b5282 (Fedora EPEL 7,
rubygem-rack-cors-0.4.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-64c36b5282

CVE-2017-11173: Schwachstelle in Rack CORS ermöglicht Umgehen von
Sicherheitsvorkehrungen und Privilegieneskalation

Aufgrund der unzureichenden Überprüfung von Domänennamen mit regulären
Ausdrücken existiert eine Schwachstelle in Rack CORS, wodurch es möglich ist
eine bösartige Domäne als vertrauenswürdige Herkunfts-Domäne (Origin Domain)
auszugeben. Ein Angreifer ist dadurch in der Lage Beschränkungen für das
Cross-Origin Resource Sharing (CORS) zu umgehen und CORS-Anfragen mit einer
bösartigen Webseite durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1224/

Schwachstelle CVE-2017-11173 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11173

Fedora Security Update FEDORA-2017-c22a8af4e9 (Fedora 25,
rubygem-rack-cors-0.4.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c22a8af4e9

Fedora Security Update FEDORA-EPEL-2017-64c36b5282 (Fedora EPEL 7,
rubygem-rack-cors-0.4.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-64c36b5282

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben