2017-1224: Rack CORS: Eine Schwachstelle ermöglicht u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-07-17 11:42)

Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle bei der Validierung von Domänennamen mit Hilfe von regulären Ausdrücken in Rack CORS ermöglicht es einem einfach authentisierten Angreifer im benachbarten Netzwerk Beschränkungen für das Cross-Origin Resource Sharing (CORS) zu umgehen und CORS-Anfragen mit einer bösartigen Webseite durchzuführen.

Für Fedora 25 und Fedora EPEL 7 steht Rack CORS in der Version 0.4.1 als Sicherheitsupdate im Status 'testing' bereit.

Schwachstellen:

CVE-2017-11173

Schwachstelle in Rack CORS ermöglicht Umgehen von Sicherheitsvorkehrungen und Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.