DFN-CERT-2012-1153 Schwachstelle in Rubygem Actionpack [Linux][Fedora]

DFN-CERT-2012-1153 Schwachstelle in Rubygem Actionpack [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket rubygem-actionpack

Betroffene Plattformen:

Fedora 15

Eine Schwachstelle in Rubygem Actionpack erlaubt einem entfernten Angreifer
schlimmstenfalls den Zugriff auf sensible Informationen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-2660: Schwachstellen in Rubygem Actionpack

Im Rubygem Actionpack ist eine Schwachstelle vorhanden, da SQL-Anfragen
basierend auf dem parameter-Hash erzeugt werden, dessen Inhalte allerdings
nicht ausreichend geprüft werden. Einem entfernten Angreifer ist es mittels
präparierter Parameter damit möglich, die Authentifizierung zu umgehen,
wodurch er schlimmstenfalls an sensible Informationen des Dienstes gelangen
kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1153/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/

Schwachstelle CVE-2012-2660:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2660

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben