2016-0178: Ruby on Rails: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2016-02-01 16:06)

Neues Advisory

Version 2 (2016-02-08 15:44)

Für die Distributionen openSUSE Leap 42.1 und openSUSE 13.2 stehen Sicherheitsupdates zur Verfügung, um diese Schwachstellen zu beheben. Die Schwachstellen CVE-2015-7581 und CVE-2016-0753 werden nicht für openSUSE 13.2 genannt.

Version 3 (2016-02-16 12:16)

SUSE stellt ein Sicherheitsupdate für RubyGems Action Pack 4.2 zur Behebung der Schwachstellen CVE-2016-0751, CVE-2016-0752, CVE-2015-7581 und CVE-2015-7576 sowie ein Sicherheitsupdate für RubyGems Action View 4.2 zur Behebung der Schwachstelle CVE-2016-0752 für SUSE Enterprise Storage 2.1 bereit. Die Schwachstelle CVE-2015-7576 wurde mit SUSE-SU-2016:0435-1 auch bereits gesondert für RubyGem ActiveSupport 4.2 adressiert.

Version 4 (2016-02-24 15:05)

Für Red Hat Software Collections 1 for RHEL 6 / RHEL 7 stehen Sicherheitsupdates in Form aktualisierter 'rh-ror41-rubygem-actionpack', 'rh-ror41-rubygem-actionview', 'rh-ror41-rubygem-activemodel' und 'rh-ror41-rubygem-activerecord'-Pakete zur Behebung dieser Schwachstellen bereit.

Version 5 (2016-02-29 14:53)

Für SUSE OpenStack Cloud 5 stehen Sicherheitsupdates für die Pakete 'rubygem-activemodel-4_1' (CVE-2016-0753), 'rubygem-activerecord-4_1' (CVE-2016-0753, CVE-2015-7577), 'rubygem-actionview-4_1' (CVE-2016-0752) und 'rubygem-activesupport-4_1' (CVE-2016-0753, CVE-2015-7576) bereit.

Version 6 (2016-03-02 12:37)

SUSE stellt die Pakete 'rubygem-actionpack-3_2', 'rubygem-activerecord-3_2' und 'rubygem-activesupport-3_2' als Sicherheitsupdates für die Produkte SUSE Webyast 1.3, SUSE Studio Onsite 1.3, SUSE Lifecycle Management Server 1.3 und SUSE Linux Enterprise Software Development Kit 11-SP4 bereit, die die Schwachstellen CVE-2015-7576, CVE-2015-7577, CVE-2016-0751 und CVE-2016-0752 beheben. Das Update auf 'rubygem-activesupport-3_2' (CVE-2015-7576) betrifft zusätzlich SUSE Linux Enterprise Software Development Kit 11-SP3.

Version 7 (2016-03-23 11:37)

Für SUSE OpenStack Cloud 5 steht ein Sicherheitsupdate für das Paket 'rubygem-actionview-4_1' bereit, welches die Schwachstellen CVE-2016-0751, CVE-2016-0752, CVE-2015-7576 und CVE-2015-7581 adressiert. Ein weiteres Sicherheitsupdate für das Paket 'rubygem-activesupport-4_1' ist notwendig, um ein vorheriges, unvollständiges Update zur Behebung der Schwachstelle CVE-2015-7576 zu vervollständigen.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

In den Modulen (RubyGems) Action Pack, Active Record und Active Model von Ruby on Rails bestehen mehrere Schwachstellen, die einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, Denial-of-Service-Angriffe, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und das Erlangen von Benutzerrechten ermöglichen.

Rails Security stellt mit den Versionen Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1 und 3.2.22.1 Sicherheitsupdates für die einzelnen Versionszweige bereit, die diese Schwachstellen beheben.

Für die Distribution Fedora 23 stehen mit den Paketen rubygem-activesupport-4.2.3-3.fc23, rubygem-actionview-4.2.3-3.fc23, rubygem-activerecord-4.2.3-2.fc23, rubygem-activemodel-4.2.3-2.fc23 und rubygem-actionpack-4.2.3-4.fc23 Sicherheitsupdates im Status 'testing' und 'pending' bereit.

Schwachstellen:

CVE-2015-7576

Schwachstelle in RubyGem Action Pack ermöglicht Erlangen von Benutzerrechten

CVE-2015-7577

Schwachstelle in RubyGem Active Record ermöglicht Manipulation von Dateien

CVE-2015-7581

Schwachstelle in RubyGem Action Pack ermöglicht Denial-of-Service-Angriff

CVE-2016-0751

Schwachstelle in RubyGem Action Pack ermöglicht Denial-of-Service-Angriff

CVE-2016-0752

Schwachstelle in RubyGem Action Pack ermöglicht Ausspähen von Informationen

CVE-2016-0753

Schwachstelle in RubyGem Active Model ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.