[Sec-cert] UPDATE: DFN-CERT-2013-2120 RubyGems-Actionpack: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe, XSS oder Ausführung von Code [Linux][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Mo Feb 3 14:00:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 3 (03.02.2014):
    In den SUSE-Produkte WebYaST 1.3, Studio Onsite 1.3 und Lifecycle
    Management Server 1.3 wurden die Schwachstellen ebenfalls behoben. Die
    Schwachstelle CVE-2013-4389 ist in diesen Produkten nicht vorhanden.
  Version 2 (06.01.2014):
    Neuere Versionen des rubygem-actionpack-3_2 sind für openSUSE 12.2, 12.3
    und 13.1 verfügbar gemacht worden. 
  Version 1 (27.12.2013):
    Neues Advisory

Betroffene Software:

  SUSE Lifecycle Management Server 1.3
  RubyGems <= 3.2.12
  SUSE Studio Onsite 1.3
  WebYaST 1.3
  

Betroffene Plattformen:

  openSUSE 12.2
  openSUSE 12.3
  openSUSE 13.1
  


Mehrere Schwachstellen in RubyGems-Actionpack ermöglichen einem entfernten,
nicht authentifizierten Angreifer die Durchführung von Denial-of-Service-
oder Cross-Site-Scripting-Angriffen oder die Ausführung von beliebigem Code.



Patch:

  openSUSE-SU-2014:0009-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00003.html>

Patch:

  SUSE Security Update: SUSE-SU-2014:0152-1

  <https://www.suse.com/support/update/announcement/2014/suse-su-20140152-1.html>


CVE-2013-4491: XSS durch Internationalisierungskomponente von Ruby on Rails

  Unter gewissen Umständen liefert die i18n-Komponente von Ruby on Rails HTML
  mit eingearbeiteten Benutzereingaben aus. Ein entfernter, nicht
  authentifizierter Angreifer kann diesen Fehler bei einer Anwendung, die die
  Komponente nutzt, zu einem XSS-Angriff verwenden, indem aktiver Code oder
  HTML in das generierte HTML eingebettet werden. 


CVE-2013-4389: Schwachstelle in Action Mailer

  Mehrere 'format string' Schwachstellen in der Log Abonnenten Komponente vom
  Action Mailer filtern die E-Mail Adresse nicht korrekt, wodurch das System
  beim Erstellen einer Log Nachricht abstürzen kann.


CVE-2013-6417: Unsichere JSON-Parameterübergabe bei
  Rack::Request-Schnittstelle

  Ein Fehler in der Verarbeitung von JSON-Parametern  führt dazu, dass
  Anwendungen, die die Rack::Request-Schnittstelle verwenden, Parameter
  erhalten, die nicht geprüft wurden. Die Ursache liegt in einem Patch für
  CVE-2013-0155, der aber nicht alle Angriffsmöglichkeiten beseitigt hat.
  Anwendungen bleiben weiterhin verwundbar gegenüber Angriffen auf
  CVE-2013-0155 und entfernten, nicht authentifizierten Angreifern wird es
  möglich, Kommandos zur Ausführung zu bringen.


CVE-2013-6415: XSS durch number_to_currency

  Unter gewissen Umständen liefert der number_to_currency-Helper von Ruby on
  Rails HTML mit eingearbeiteten Benutzereingaben aus. Hierbei werden
  Benutzereingaben nicht korrekt gefiltert. Ein entfernter, nicht
  authentifizierter Angreifer kann diesen Fehler bei einer Anwendung, die die
  Komponente nutzt, zu einem XSS-Angriff verwenden. Hierzu wird aktiver Code
  oder HTML in das generierte HTML eingebettet. 


CVE-2013-6414: Denial-of-Service bei Action View

  Die Verarbeitung von Headern durch Action View
  (actionpack/lib/action_view/lookup_context.rb) führt bei ungültigen
  MIME-Typen zu einem exzessiven Caching mit sehr hohem Speicherverbrauch.
  Entfernte, nicht authentifizierte Angreifer können durch Manipulation der
  Header-Angaben eine unbegrenzte Speicherung der Angaben im Cache erreichen.
  Durch den Speicherverbrauch kommt es zu einem Denial-of-Service.
  
  


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-2120/>

openSUSE-SU-2014:0009-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00003.html>

Schwachstelle CVE-2013-6417 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6417>

Schwachstelle CVE-2013-4491 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4491>

Schwachstelle CVE-2013-6415 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6415>

Schwachstelle CVE-2013-6414 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6414>

Schwachstelle CVE-2013-4389 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4389>

SUSE Security Update: SUSE-SU-2014:0152-1:
  <https://www.suse.com/support/update/announcement/2014/suse-su-20140152-1.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140203/252c27ad/attachment-0001.p7s>


Mehr Informationen über die Mailingliste Sec-cert