2020-0046: Rack: Eine Schwachstelle ermöglicht u. a. das Ausspähen von Informationen

Historie:

Version 1 (2020-01-10 11:15)

Neues Advisory

Version 2 (2020-01-13 10:15)

Für Fedora EPEL 7 steht ein Sicherheitsupdate auf Rack 1.6.12 im Status 'testing' bereit.

Version 3 (2020-06-11 13:12)

Red Hat informiert über die Schwachstelle in 'cfme-gemset' und 'cfme-amazon-smartstate' für CloudForms Management Engine 5.11, die auf 'rubygem-rack' zurückgreifen, und stellt CloudForms 5.0.6 als Sicherheitsupdate bereit.

Version 4 (2021-04-13 19:02)

Für SUSE OpenStack Cloud 7 sowie Crowbar 8 und 9 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'rubygem-actionpack-4_2' bereit.

Betroffene Software

Entwicklung
Middleware
Netzwerk
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Eine Schwachstelle in Rack ermöglicht einem Angreifer aus der Ferne die Übernahme einer Browser-Sitzung (Session Hijacking) und dadurch das Ausspähen von Informationen und möglicherweise weitere Angriffe. Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Der Hersteller hat Rack 1.6.12 und 2.0.8 als Sicherheitsupdates bereitgestellt.

Für Fedora 31 und Fedora EPEL 8 stehen Sicherheitsupdates auf Version 2.0.8 zur Behebung der Schwachstelle im Status 'testing' bereit.

Schwachstellen:

CVE-2019-16782

Schwachstelle in rubygem-rack ermöglicht u. a. Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.