2019-0650: Ruby on Rails: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen
Historie:
- Version 1 (2019-04-01 17:20)
- Neues Advisory
- Version 2 (2019-04-23 16:36)
- Red Hat stellt für die Platform CloudForms 4.7.3 ein Sicherheitsupdate für die CloudForms Management Engine in der Version 5.10 zur Behebung der Schwachstellen bereit. Das Update enthält weiterhin eine Reihe von Verbesserungen und Bugfixes.
- Version 3 (2019-05-08 18:41)
- Die beiden referenzierten Schwachstellen werden für openSUSE Leap 15.0 mittels eines Sicherheitsupdates für 'rubygem-actionpack-5_1' behoben.
- Version 4 (2019-05-13 18:12)
- Für Red Hat Software Collections stehen Sicherheitsupdates für 'rh-ror42-rubygem-actionpack' und 'rh-ror50-rubygem-actionpack' bereit, um die Schwachstellen zu beheben. Die Updates stehen unter anderem für Red Hat Enterprise Linux (RHEL) Server 6, 6.7, 7, 7.4, 7.5 und 7.6 sowie für RHEL Workstation 6 und 7 zur Verfügung.
- Version 5 (2019-05-31 13:10)
- Red Hat stellt ein Sicherheitsupdate der CloudForms Management Engine 5.9 für CloudForms 4.6 zur Verfügung.
Betroffene Software
Entwicklung
Middleware
Netzwerk
Server
Systemsoftware
Virtualisierung
Betroffene Plattformen
Cloud
Linux
Beschreibung:
Ein vermutlich entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell gestalteter 'Accept-Header' einen Denial-of-Service (DoS)-Zustand herbeiführen und Informationen ausspähen. Falls die ausgespähten Informationen Anmeldedaten enthalten, ist auch die Ausführung beliebigen Programmcodes möglich.
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'rails' in Form des Pakets '2:4.1.8-1+deb8u5' bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2019-5418
Schwachstelle in Rubygem Actionview ermöglicht Ausspähen von InformationenCVE-2019-5419
Schwachstelle in Rubygem Actionview ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.