DFN-CERT-2013-1829 Rack: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian][Unix]

DFN-CERT-2013-1829 Rack: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Rack <= 1.1.6 Rack <= 1.2.7 Rack <= 1.3.9 Rack <= 1.4.4 Rack <= 1.5.1 Debian Linux <= 6.0.7 Squeeze Betroffene Plattformen: Debian Linux UNIX Mehrere Schwachstellen in librack-ruby ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebige Befehle ausführen. Patch: Debian Security Advisory DSA-2783 http://www.debian.org/security/2013/dsa-2783

CVE-2013-0263: Schwachstelle in Rack

Rack::Session::Cookie in RubyGems Rack 1.5.x vor Version 1.5.2, 1.4.x vor
Version 1.4.5, 1.3.x vor Version 1.3.10, 1.2.x vor Version 1.2.8 und 1.1.x
vor Version 1.1.6 enthält eine Schwachstelle. Einem entfernten Angreifer
ermöglicht diese Session-Cookies zu erraten, erweiterte Privilegien zu
erlangen und beliebige Befehle zur Ausführung zu bringen.

CVE-2013-0184: Schwachstelle in librack-ruby

Im RubyGems Rack (Rack::Auth::AbstractRequest) ist eine
Denial-of-Service-Schwachstelle vorhanden, deren Risiko als geringfügig
eingestuft worden ist. Weitere Informationen sind bislang nicht vorhanden.

CVE-2011-5036: Schwachstelle in Rack

In der Ruby-Webserver Schnittstelle Rack in den Versionen vor 1.1.3, den
Versionen 1.2.x vor Version 1.2.5 und den Versionen 1.3.x vor Version 1.3.6
wird bei der Erzeugung von Hash-Werten für Formular Parameter die
Möglichkeit, Kollisionen vorhersagbar zu generieren, nicht eingeschränkt.
Rack verwendet bei der Implementierung von Feldern Hashtabellen zum Abbilden
von Schlüsseln auf Werte. Hash-Kollisionen erhöhen die Komplexität einer
Tabellen-Operation von durchschnittlich O(1) auf O(n). Dies ermöglicht einem
entfernten Angreifer durch ein häufiges Versenden von Strings mit gleichen
Hash-Werten einen Denial-of-Service (DoS) auszulösen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1829/

Schwachstelle CVE-2013-0263 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0263

Schwachstelle CVE-2013-0184 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0184

Debian Security Advisory DSA-2783:
http://www.debian.org/security/2013/dsa-2783

Schwachstelle CVE-2011-5036 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-5036

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben