Dies Bundesamt zu Händen Sicherheit in dieser Informationstechnik (BSI) hat am 13.03.2023 ein Update zu einer am 09.03.2022 bekanntgewordenen Sicherheitslücke zu Händen Ruby on Rails veröffentlicht. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Debian Linux und Open Source Ruby on Rails.

Die neuesten Hersteller-Empfehlungen zum Thema Updates, Workarounds und Sicherheitspatches zu Händen selbige Sicherheitslücke finden Sie hier: Debian Security Advisory DSA-5372 (Stand: 13.03.2023). Weitere nützliche Quellen werden weiter unten in diesem Verpflichtung aufgeführt.

Sicherheitshinweis zu Händen Ruby on Rails – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 10,0
CVSS Zeitlich Score: 8,7
Remoteangriff: Ja

Zur Einschätzung dieser Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinaus Stützpunkt verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Jener Kusine Score bewertet die Voraussetzungen zu Händen kombinieren Übergriff (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen zusätzlich die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dies Risiko dieser aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 10,0 qua „hoch“ eingestuft.

Ruby on Rails Programmierfehler: Schwachstelle ermöglicht Codeausführung

Ruby on Rails ist ein in dieser Programmiersprache Ruby geschriebenes und quelloffenes Web Application Framework.

Ein Angreifer kann eine Schwachstelle in Ruby on Rails ausnutzen, um beliebigen Programmcode auszuführen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2022-21831.

Von dieser Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
UNIX, Linux, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Open Source Ruby on Rails < 7.0.2.3 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < 6.1.4.7 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < 6.0.4.7 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < 5.2.6.3 (cpe:/a:rubyonrails:ruby_on_rails)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Computer-Nutzer dieser betroffenen Anwendungen sollten selbige hinaus dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie selbige zeitnah.

2. Rat einholen Sie zu Informationszwecken die im nächsten Stückchen aufgeführten Quellen. Vielmals enthalten selbige weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen zusätzlich Programmierfehler-Reports, Security-Fixes und Workarounds.

Debian Security Advisory DSA-5372 vom 2023-03-13 (13.03.2023)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2023/msg00061.html

Debian Security Advisory DLA-3093 vom 2022-09-03 (05.09.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/09/msg00002.html

Ruby Security Advisory vom 2022-03-08 (09.03.2022)
Weitere Informationen finden Sie unter: https://rubyonrails.org/2022/3/8/Rails-7-0-2-3-6-1-4-7-6-0-4-7-and-5-2-6-3-have-been-released

Versionshistorie dieser Sicherheitswarnung

Dies ist die 3. Version des vorliegenden IT-Sicherheitshinweises zu Händen Ruby on Rails. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

09.03.2022 – Initiale Steckdose
05.09.2022 – Neue Updates von Debian aufgenommen
13.03.2023 – Neue Updates von Debian aufgenommen

+++ Redaktioneller Rauchzeichen: Dieser Text wurde hinaus Stützpunkt aktueller BSI-Fakten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
roj/news.de