Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (07.06.2014):
Der Hersteller veröffentlicht Sicherheitsupdates für WebYaST 1.3, SUSE
Studio Onsite 1.3 und SUSE Lifecycle Management Server 1.3.
Version 3 (06.06.2014):
Für das SUSE Linux Enterprise Software Development Kit 11 SP3 steht ein
Sicherheitsupdate bereit.
Version 2 (15.04.2014):
Es sind Patches für openSUSE 12.3 und 13.1 verfügbar.
Version 1 (21.03.2014):
Neues Advisory
Betroffene Software:
RubyGems
Betroffene Plattformen:
SUSE Lifecycle Management Server 1.3
SUSE Studio Onsite 1.3
SuSE SUSE Linux Enterprise Software Development Kit 11 SP3 Enterprise
WebYaST 1.3
openSUSE 12.3
openSUSE 13.1
Red Hat Fedora 20
Diese Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten
Angreifer, beliebige HTML- und Script-Befehle auf einer Fehlerseite im
Kontext eines anderen Benutzers zur Ausführung zu bringen.
Patch:
Fedora Update FEDORA-2014-4118
https://admin.fedoraproject.org/updates/FEDORA-2014-4118/rubygem-rack-ssl-1.3.2-9.fc20
Patch:
openSUSE Security Update: openSUSE-SU-2014:0515-1
http://lists.opensuse.org/opensuse-updates/2014-04/msg00032.html
Patch:
SUSE Security Update: SUSE-SU-2014:0730-2
https://www.suse.com/support/update/announcement/2014/suse-su-20140730-2.html
Patch:
SUSE Security Update: SUSE-SU-2014:0730-1
https://www.suse.com/support/update/announcement/2014/suse-su-20140730-1.html
CVE-2014-2538: Schwachstelle in RubyGems Rack SSL ermöglicht
Cross-Site-Scripting
Einige Adapter reichen illegale URIs an RubyGems Rack SSL weiter. Die daraus
resultierende Ausnahme wird von Rack SSL bis Version 1.3.3 auf einer
Fehlerseite angezeigt. Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer beliebige HTML- und Script-Befehle auf einer
Fehlerseite im Kontext eines anderen Benutzers zur Ausführung zu bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0349/
Fedora Update FEDORA-2014-4118:
https://admin.fedoraproject.org/updates/FEDORA-2014-4118/rubygem-rack-ssl-1.3.2-9.fc20
Schwachstelle CVE-2014-2538 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2538
openSUSE Security Update: openSUSE-SU-2014:0515-1:
http://lists.opensuse.org/opensuse-updates/2014-04/msg00032.html
SUSE Security Update: SUSE-SU-2014:0730-2:
https://www.suse.com/support/update/announcement/2014/suse-su-20140730-2.html
SUSE Security Update: SUSE-SU-2014:0730-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140730-1.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
