DFN-CERT-2012-1685 Mehrere Schwachstellen in Ruby on Rails Komponenten [Linux][SuSE]

DFN-CERT-2012-1685 Mehrere Schwachstellen in Ruby on Rails Komponenten [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Pakete rubygem-actionmailer-3_2, rubygem-actionpack-3_2,
rubygem-activemodel-3_2, rubygem-activerecord-3_2,
rubygem-activeresource-3_2, rubygem-activesupport-3_2, rubygem-journey-1_0,
rubygem-rails-3_2, rubygem-railties-3_2, rubygem-sprockets-2_1

Betroffene Plattformen:

openSUSE 12.2

Mehrere Schwachstellen in Actionpack von Rubygems erlauben einem entfernten
Angreifer schlimmstenfalls Zugriff auf vertrauliche Informationen oder einen
Denial-of-Service-Angriff durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2012-3424: Schwachstelle in Rubygem ActionPack

In der Funktion decode_credentials() (in: http_authentication.rb) in Ruby on
Rails 3.x vor Version 3.0.16, 3.1.x vor Version 3.1.7, und 3.2.x vor Version
3.2.7 findet eine fehlerhafte Konvertierung von Daten statt. Einem
entfernten Angreifer ist es damit möglich, einen Denial-of-Service-Angriff
durchzuführen, falls eine Applikation die Hilfefunktion with_http_digest()
verwendet.

CVE-2012-2695: Schwachstelle in Rubygem ActiveRecord

Im ActiveRecord von Rubygem werden SQL-Anfragen direkt aus
nutzerkontrollierten Parametern erzeugt. Falls es einem entfernten Angreifer
gelingt, die Anfrageparameter direkt an die where-Funktion einer
ActiveRecord-Klasse zu übergeben, ist es ihm möglich, den WHERE-Teil der
abgeleiteten SQL-Anfrage gezielt zu manipulieren um an sensible
Informationen zu gelangen.
Diese Schwachstelle ist eine Variante der unter CVE-2012-2661 beschriebenen,
welche durch den bereitgestellten Sicherheitspatch nicht behoben wurde.

CVE-2012-2694: SQL-Injection Schwachstelle in Rubygem Actionpack

Im Rubygem Actionpack ist eine Schwachstelle vorhanden, da SQL-Anfragen
basierend auf dem Parameter-Hash erzeugt werden, dessen Inhalte allerdings
nicht ausreichend geprüft werden. Diese Schwachstelle erlaubt es einem
Angreifer, Queries so zu manipulieren, dass er über Eingeschleuste ‘IS NULL’
Statements Informationen über die Gültigkeit von Tabellenfeldern erhalten
kann. Diese Information lässt sich unter Umständen für weitergehende
Angriffe ausnutzen.

CVE-2012-2661: Schwachstelle in Rubygem ActiveRecord

Im ActiveRecord von Rubygem werden SQL-Anfragen direkt aus
nutzerkontrollierten Parametern erzeugt. Falls es einem entfernten Angreifer
gelingt, die Anfrageparameter direkt an die where-Funktion einer
ActiveRecord-Klasse zu übergeben, ist es ihm möglich, den WHERE-Teil der
abgeleiteten SQL-Anfrage gezielt zu manipulieren um an sensible
Informationen zu gelangen.

CVE-2012-2660: Schwachstellen in Rubygem Actionpack

Im Rubygem Actionpack ist eine Schwachstelle vorhanden, da SQL-Anfragen
basierend auf dem parameter-Hash erzeugt werden, dessen Inhalte allerdings
nicht ausreichend geprüft werden. Einem entfernten Angreifer ist es mittels
präparierter Parameter damit möglich, die Authentifizierung zu umgehen,
wodurch er schlimmstenfalls an sensible Informationen des Dienstes gelangen
kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1685/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2012-2660:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2660

Schwachstelle CVE-2012-2661:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2661

Schwachstelle CVE-2012-2694:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2694

Schwachstelle CVE-2012-2695:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2695

Schwachstelle CVE-2012-3424:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3424

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben