Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (22.05.2014):
SUSE stellt Sicherheitsupdates für SUSE Linux Enterprise High Availability
Extension 11 SP3 bereit.
Version 4 (28.03.2014):
Debian stellt Sicherheitsupdates für die Version 7.4 (wheezy) bereit.
Version 3 (03.02.2014):
In den SUSE-Produkte WebYaST 1.3, Studio Onsite 1.3 und Lifecycle
Management Server 1.3 wurden die Schwachstellen ebenfalls behoben. Die
Schwachstelle CVE-2013-4389 ist in diesen Produkten nicht vorhanden.
Version 2 (06.01.2014):
Neuere Versionen des rubygem-actionpack-3_2 sind für openSUSE 12.2, 12.3
und 13.1 verfügbar gemacht worden.
Version 1 (27.12.2013):
Neues Advisory
Betroffene Software:
SUSE Lifecycle Management Server 1.3
RubyGems <= 3.2.12
SUSE Studio Onsite 1.3
WebYaST 1.3
Betroffene Plattformen:
SUSE Linux Enterprise High Availability Extension 11 SP3 Enterprise
Debian Linux 7.4 Wheezy
openSUSE 12.2
openSUSE 12.3
openSUSE 13.1
Mehrere Schwachstellen in RubyGems-Actionpack ermöglichen einem entfernten,
nicht authentifizierten Angreifer die Durchführung von Denial-of-Service-
oder Cross-Site-Scripting-Angriffen oder die Ausführung von beliebigem Code.
Patch:
openSUSE-SU-2014:0009-1
http://lists.opensuse.org/opensuse-updates/2014-01/msg00003.html
Patch:
SUSE Security Update: SUSE-SU-2014:0152-1
https://www.suse.com/support/update/announcement/2014/suse-su-20140152-1.html
Patch:
Debian Security Advisory DSA-2888
http://www.debian.org/security/2014/dsa-2888
Patch:
SUSE Security Update: SUSE-SU-2014:0686-1
https://www.suse.com/support/update/announcement/2014/suse-su-20140686-1.html
CVE-2013-4491: XSS durch Internationalisierungskomponente von Ruby on Rails
Unter gewissen Umständen liefert die i18n-Komponente von Ruby on Rails HTML
mit eingearbeiteten Benutzereingaben aus. Ein entfernter, nicht
authentifizierter Angreifer kann diesen Fehler bei einer Anwendung, die die
Komponente nutzt, zu einem XSS-Angriff verwenden, indem aktiver Code oder
HTML in das generierte HTML eingebettet werden.
CVE-2013-4389: Schwachstelle in Action Mailer
Mehrere ‘format string’ Schwachstellen in der Log Abonnenten Komponente vom
Action Mailer filtern die E-Mail Adresse nicht korrekt, wodurch das System
beim Erstellen einer Log Nachricht abstürzen kann.
CVE-2013-0155: Unterschiedlliche Parameterbehandlung zwischen Active Record
und JSON-Implementierung
In Ruby on Rails werden Unterschiede bei der Parameterbehandlung zwischen
der ‘Active Record’-Komponente und der JSON-Implementierung nicht korrekt
berücksichtigt. Einem entfernten, nicht authentifizierten Angreifer ist es
damit möglich, Beschränkungen für Datenbankanfragen zu umgehen, um so
NULL-Prüfungen durchzuführen oder mittels präparierter Anfragen
WHERE-Klauseln von SQL-Statements zu entfernen.
CVE-2013-6417: Unsichere JSON-Parameterübergabe bei
Rack::Request-Schnittstelle
Ein Fehler in der Verarbeitung von JSON-Parametern führt dazu, dass
Anwendungen, die die Rack::Request-Schnittstelle verwenden, Parameter
erhalten, die nicht geprüft wurden. Die Ursache liegt in einem Patch für
CVE-2013-0155, der aber nicht alle Angriffsmöglichkeiten beseitigt hat.
Anwendungen bleiben weiterhin verwundbar gegenüber Angriffen auf
CVE-2013-0155 und entfernten, nicht authentifizierten Angreifern wird es
möglich, Kommandos zur Ausführung zu bringen.
CVE-2013-6415: XSS durch number_to_currency
Unter gewissen Umständen liefert der number_to_currency-Helper von Ruby on
Rails HTML mit eingearbeiteten Benutzereingaben aus. Hierbei werden
Benutzereingaben nicht korrekt gefiltert. Ein entfernter, nicht
authentifizierter Angreifer kann diesen Fehler bei einer Anwendung, die die
Komponente nutzt, zu einem XSS-Angriff verwenden. Hierzu wird aktiver Code
oder HTML in das generierte HTML eingebettet.
CVE-2013-6414: Denial-of-Service bei Action View
Die Verarbeitung von Headern durch Action View
(actionpack/lib/action_view/lookup_context.rb) führt bei ungültigen
MIME-Typen zu einem exzessiven Caching mit sehr hohem Speicherverbrauch.
Entfernte, nicht authentifizierte Angreifer können durch Manipulation der
Header-Angaben eine unbegrenzte Speicherung der Angaben im Cache erreichen.
Durch den Speicherverbrauch kommt es zu einem Denial-of-Service.
CVE-2013-0155: Unterschiedlliche Parameterbehandlung zwischen Active Record
und JSON-Implementierung
In Ruby on Rails werden Unterschiede bei der Parameterbehandlung zwischen
der ‘Active Record’-Komponente und der JSON-Implementierung nicht korrekt
berücksichtigt. Einem entfernten, nicht authentifizierten Angreifer ist es
damit möglich, Beschränkungen für Datenbankanfragen zu umgehen, um so
NULL-Prüfungen durchzuführen oder mittels präparierter Anfragen
WHERE-Klauseln von SQL-Statements zu entfernen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2120/
openSUSE-SU-2014:0009-1:
http://lists.opensuse.org/opensuse-updates/2014-01/msg00003.html
Schwachstelle CVE-2013-0155 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0155
Schwachstelle CVE-2013-4491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4491
Schwachstelle CVE-2013-6417 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6417
Schwachstelle CVE-2013-6414 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6414
Schwachstelle CVE-2013-6415 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6415
Schwachstelle CVE-2013-4389 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4389
SUSE Security Update: SUSE-SU-2014:0152-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140152-1.html
Debian Security Advisory DSA-2888:
http://www.debian.org/security/2014/dsa-2888
SUSE Security Update: SUSE-SU-2014:0686-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140686-1.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
