2016-0181: Ruby on Rails: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Historie:
- Version 1 (2016-02-01 16:11)
- Neues Advisory
- Version 2 (2016-02-11 18:04)
- Für Fedora 22 stehen Sicherheitsupdates in Form der Pakete rubygem-activerecord-4.2.0-2.fc22, rubygem-actionpack-4.2.0-3.fc22, rubygem-activemodel-4.2.0-2.fc22 und rubygem-actionview-4.2.0-3.fc22 im Status 'testing' zur Verfügung. Die Schwachstellen CVE-2015-3226 und CVE-2015-3227 werden nicht adressiert, da diese bereits mit dem früheren Sicherheitsupdate FEDORA-2015-10538 (rubygem-activesupport-4.2.0-2.fc22 im Status 'stable') behoben wurden.
Betroffene Software
Entwicklung
Server
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
In den Modulen (RubyGems) Action Pack, Active Record und Active Model von Ruby on Rails bestehen mehrere Schwachstellen, die einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, Denial-of-Service- und Cross-Site-Scripting-Angriffe, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und das Erlangen von Benutzerrechten ermöglichen.
Für die Distribution Debian Jessie (stable) stehen Sicherheitsupdates bereit.
Schwachstellen:
CVE-2015-3226
Schwachstelle in RubyGem Active Support erlaubt Cross-Site-ScriptingCVE-2015-3227
Schwachstelle in RubyGem Active Support erlaubt Denial-of-ServiceCVE-2015-7576
Schwachstelle in RubyGem Action Pack ermöglicht Erlangen von BenutzerrechtenCVE-2015-7577
Schwachstelle in RubyGem Active Record ermöglicht Manipulation von DateienCVE-2015-7581
Schwachstelle in RubyGem Action Pack ermöglicht Denial-of-Service-AngriffCVE-2016-0751
Schwachstelle in RubyGem Action Pack ermöglicht Denial-of-Service-AngriffCVE-2016-0752
Schwachstelle in RubyGem Action Pack ermöglicht Ausspähen von InformationenCVE-2016-0753
Schwachstelle in RubyGem Active Model ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.