2020-2327: rmt-server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-10-27 12:20)

Neues Advisory

Version 2 (2020-11-04 17:40)

Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS und High Performance Computing 15 ESPOS / LTSS stehen Sicherheitsupdates für ''rmt-server' zur Behebung der Schwachstellen bereit.

Version 3 (2020-11-05 17:30)

Für SUSE Linux Enterprise Module for Server Applications 15 SP1 und SUSE Linux Enterprise Module for Public Cloud 15 SP1 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit. rmt-server wird damit auf Version 2.6.5 aktualisiert.

Version 4 (2020-11-23 12:23)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate zur Behebung der sechzehn Schwachstellen bereit. rmt-server wird damit auf Version 2.6.5 aktualisiert.

Version 5 (2020-11-24 16:56)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der sechzehn Schwachstellen bereit. rmt-server wird damit auf Version 2.6.5 aktualisiert.

Betroffene Software

Entwicklung
Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen, einen HTTP-Response-Splitting-Angriff durchzuführen, einen Cross-Site-Request-Forgery (CSRF)-Angriff durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Für SUSE Linux Enterprise Module for Server Applications 15 SP2 und SUSE Linux Enterprise Module for Public Cloud 15 SP2 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit. rmt-server wird damit auf Version 2.6.5 aktualisiert.

Schwachstellen:

CVE-2019-16770

Schwachstelle in RubyGem Puma ermöglicht Denial-of-Service-Angriff

CVE-2019-5418

Schwachstelle in Rubygem Actionview ermöglicht Ausspähen von Informationen

CVE-2019-5419

Schwachstelle in Rubygem Actionview ermöglicht Denial-of-Service-Angriff

CVE-2019-5420

Schwachstelle in Rubygem ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-11076

Schwachstelle in Puma (RubyGem) ermöglicht Manipulation von Dateien

CVE-2020-11077

Schwachstelle in Puma (RubyGem) ermöglicht Darstellen falscher Informationen

CVE-2020-15169

Schwachstelle in rubygem-actionview ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-5247

Schwachstelle in RubyGem Puma ermöglicht u. a. HTTP-Response-Splitting-Angriff

CVE-2020-5249

Schwachstelle in RubyGem Puma ermöglicht u. a. HTTP-Response-Splitting-Angriff

CVE-2020-5267

Schwachstelle in ActionView ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-8164

Schwachstelle in rubygem-actionpack ermöglicht Ausspähen von Informationen

CVE-2020-8165

Schwachstelle in rubygem-activesupport ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-8166

Schwachstelle in rubygem-actionpack ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-8167

Schwachstelle in rubygem-actionview ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-8184

Schwachstelle in rubygem-rack ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-8185

Schwachstelle in Rails ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.