2022-1943: Rails: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-09-05 12:17)

Neues Advisory

Version 2 (2022-09-15 14:23)

Mit DLA 3093-1 wurde bei der Behebung der Schwachstelle CVE-2022-32224 aufgrund einer Inkompatibilität mit Ruby 2.5 eine Regression eingeführt, weshalb dieser Fix verworfen wurde. Für Debian 10 Buster (LTS) steht von 'rails' die neue Version 2:5.2.2.1+dfsg-1+deb10u5 zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und verschiedene Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'rails' in Version 2:5.2.2.1+dfsg-1+deb10u4 zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2022-21831

Schwachstelle in Active Storage ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-22577

Schwachstelle in Action Pack ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-23633

Schwachstelle in Action Pack ermöglicht Ausspähen von Informationen

CVE-2022-27777

Schwachstelle in Action Pack ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-32224

Schwachstelle in Active Record ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.