DFN-CERT-2014-1515 Ruby on Rails: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2014-1515 Ruby on Rails: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Ruby on Rails >= 3.0.0
Ruby on Rails < 3.2.0 Ruby on Rails < 4.0.11 Ruby on Rails < 4.1.7 Ruby on Rails < 4.2.0.beta3 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Zwei Schwachstellen in Ruby on Rails ermöglichen einem entfernten, nicht authentifizierten Angreifer Informationen auszuspähen. Die beiden Schwachstellen sind nicht identisch. Für Red Hat Fedora 19, 20 und 21 werden die Pakete rubygem-actionpack-3.2.13-7.fc19, bzw. rubygem-actionpack-4.0.0-5.fc20, bzw. rubygem-actionpack-4.1.5-2.fc21 (alle im Status "testing") bereitgestellt, in denen diese Schwachstellen behoben wurden. Workaround: Ein möglicher Workaround ist das Setzen der Variable serve_static_assets auf false (e. G. config. serve_static_assets = false). Dieses ist nicht in allen Umgebungen möglich, weshalb das Einspielen der Patches angeraten ist. Patch: Fedora Security Update FEDORA-2014-15342 https://admin.fedoraproject.org/updates/FEDORA-2014-15342/rubygem-actionpack-4.1.5-2.fc21

Patch:

Fedora Security Update FEDORA-2014-15371

https://admin.fedoraproject.org/updates/FEDORA-2014-15371/rubygem-actionpack-4.0.0-5.fc20

Patch:

Fedora Security Update FEDORA-2014-15378

https://admin.fedoraproject.org/updates/FEDORA-2014-15378/rubygem-actionpack-3.2.13-7.fc19

CVE-2014-7829: Verzeichnis-Traversal-Schwachstelle in Ruby on Rails
ermöglicht das Ausspähen von Informationen

Eine Verzeichnis-Traversal-Schwachstelle in Ruby on Rails im Zusammenhang
mit der Funktion serve_static_assets in der Datei
actionpack/lib/action_dispatch/middleware/static.rb führt dazu, dass die
Existenz einer Datei außerhalb des Ruby Wurzelverzeichnis geprüft werden
kann. Die Schwachstelle ist nicht identisch mit der CVE-2014-7818. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch Informationen
ausspähen.

CVE-2014-7818: Eine Verzeichnis-Traversal-Schwachstelle in Ruby on Rails
ermöglicht das Ausspähen von Informationen

Eine Verzeichnis-Traversal-Schwachstelle in Ruby on Rails im Zusammenhang
mit der Funktion serve_static_assets in der Datei
actionpack/lib/action_dispatch/middleware/static.rb führt dazu, dass die
Existenz einer Datei außerhalb des Ruby Wurzelverzeichnis geprüft werden
kann. Die Schwachstelle ist nicht identisch mit der CVE-2014-7829. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch Informationen
ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1515/

Schwachstelle CVE-2014-7818 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7818

Fedora Security Update FEDORA-2014-15342:
https://admin.fedoraproject.org/updates/FEDORA-2014-15342/rubygem-actionpack-4.1.5-2.fc21

Schwachstelle CVE-2014-7829 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7829

Fedora Security Update FEDORA-2014-15371:
https://admin.fedoraproject.org/updates/FEDORA-2014-15371/rubygem-actionpack-4.0.0-5.fc20

Fedora Security Update FEDORA-2014-15378:
https://admin.fedoraproject.org/updates/FEDORA-2014-15378/rubygem-actionpack-3.2.13-7.fc19

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben