Technologie

#Ruby on Rails: Neue Sicherheitslücke! Mehrere Schwachstellen gemeldet

„Ruby on Rails: Neue Sicherheitslücke! Mehrere Schwachstellen gemeldet“

Dies BSI hat vereinigen aktuellen IT-Sicherheitshinweis für jedes Ruby on Rails veröffentlicht. Es sind mehrere Schwachstellen festgestellt worden. Mehr weiterführend die betroffenen Betriebssysteme und Produkte sowie CVE-Nummern routiniert Sie hier aufwärts news.de.

Dies Bundesamt für jedes Sicherheit in jener Informationstechnik (BSI) hat am 14.03.2023 vereinigen Sicherheitshinweis für jedes Ruby on Rails gemeldet. Welcher Report weist aufwärts mehrere Schwachstellen hin, die von Angreifern ausgenutzt werden können. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie dies Produkt Open Source Ruby on Rails.

Die neuesten Hersteller-Empfehlungen wegen Updates, Workarounds und Sicherheitspatches für jedes sie Sicherheitslücke finden Sie hier: Ruby on Rails Security Advisory (Stand: 13.03.2023). Weitere nützliche Quellen werden weiter unten in diesem Begleiter aufgeführt.

Mehrere Schwachstellen für jedes Ruby on Rails gemeldet – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Ordnung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Sockel verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Welcher Kusine Score bewertet die Voraussetzungen für jedes vereinigen Offensive (u.a. Authentifizierung, Schwierigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen weiterführend die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung jener hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 7,5 denn „mittel“ eingestuft.

Ruby on Rails Programmierfehler: Erklärung des Angriffs

Ruby on Rails ist ein in jener Programmiersprache Ruby geschriebenes und quelloffenes Web Application Framework.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Ruby on Rails ausnutzen, um vereinigen Cross-Site Scripting Offensive durchzuführen, unbekannte Auswirkungen zu verursachen oder vereinigen Denial of Tafelgeschirr Zustand herbeizuführen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-27539, CVE-2023-27531, CVE-2023-28120 und CVE-2023-23913.

Von jener Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, Windows

Produkte
Open Source Ruby on Rails < 6.1.7.3 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < 6.1.7.3 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < 7.0.4.3 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < 7.0.4.3 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < Kredis 1.3.0.1 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < Kredis 1.3.0.1 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < Rack 2.2.6.4 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < Rack 2.2.6.4 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < Rack 3.0.6.1 (cpe:/a:rubyonrails:ruby_on_rails)
Open Source Ruby on Rails < Rack 3.0.6.1 (cpe:/a:rubyonrails:ruby_on_rails)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

  1. Benützer jener betroffenen Systeme sollten sie aufwärts dem aktuellsten Stand halten. Hersteller sind im Zusammenhang Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Fortentwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.

  2. Rat einholen Sie zu Informationszwecken die im nächsten Fragment aufgeführten Quellen. Vielmals enthalten sie weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

  3. Wenden Sie sich im Zusammenhang weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen weiterführend Programmierfehler-Reports, Security-Fixes und Workarounds.

Ruby on Rails Security Advisory vom 2023-03-13 (14.03.2023)
Weitere Informationen finden Sie unter: https://discuss.rubyonrails.org/t/cve-2023-23913-dom-based-cross-site-scripting-in-rails-ujs-for-contenteditable-html-elements/82468

Ruby on Rails Security Advisory vom 2023-03-13 (14.03.2023)
Weitere Informationen finden Sie unter: https://discuss.rubyonrails.org/t/cve-2023-27531-possible-deserialization-of-untrusted-data-vulnerability-in-kredis-json/82467

Ruby on Rails Security Advisory vom 2023-03-13 (14.03.2023)
Weitere Informationen finden Sie unter: https://discuss.rubyonrails.org/t/cve-2023-27539-possible-denial-of-service-vulnerability-in-racks-header-parsing/82466

Ruby on Rails Security Advisory vom 2023-03-13 (14.03.2023)
Weitere Informationen finden Sie unter: https://discuss.rubyonrails.org/t/cve-2023-28120-possible-xss-security-vulnerability-in-safebuffer-bytesplice/82469

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Steckdose des vorliegenden IT-Sicherheitshinweises für jedes Ruby on Rails. Unter Kundgabe von Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mithilfe jener folgenden Versionshistorie wiederholen.

14.03.2023 – Initiale Steckdose

+++ Redaktioneller Tabelle: Dieser Text wurde aufwärts Sockel aktueller BSI-Fakten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon im Zusammenhang Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de

Quelle

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"