DFN-CERT-2012-1281 Schwachstelle in Rubygem Actionpack [Linux][Fedora]

DFN-CERT-2012-1281 Schwachstelle in Rubygem Actionpack [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket rubygem-actionpack

Betroffene Plattformen:

Fedora 16
Fedora 17

Eine Schwachstelle im Rubygem Actionpack erlaubt es einem entfernten
Angreifer, SQL-Injection Angriffe auf eine betroffene Installation
durchzuführen und so möglicherweise vertrauliche Informationen zu erhalten.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-2694: SQL-Injection Schwachstelle in Rubygem Actionpack

Im Rubygem Actionpack ist eine Schwachstelle vorhanden, da SQL-Anfragen
basierend auf dem Parameter-Hash erzeugt werden, dessen Inhalte allerdings
nicht ausreichend geprüft werden. Diese Schwachstelle erlaubt es einem
Angreifer, Queries so zu manipulieren, dass er über Eingeschleuste ‘IS NULL’
Statements Informationen über die Gültigkeit von Tabellenfeldern erhalten
kann. Diese Information lässt sich unter Umständen für weitergehende
Angriffe ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1281/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/083133.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/083135.html

Schwachstelle CVE-2012-2694:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2694

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben