Ausnahme gefangen: SSL certificate problem: certificate is not yet valid ๐Ÿ“Œ Ruby on Rails 3.0/4.0 Active Record Handler erweiterte Rechte
Team IT Security Nachrichtenportal Logo

๐Ÿ  Team IT Security News

TSecurity.de ist eine Online-Plattform, die sich auf die Bereitstellung von Informationen,alle 15 Minuten neuste Nachrichten, Bildungsressourcen und Dienstleistungen rund um das Thema IT-Sicherheit spezialisiert hat.
Ob es sich um aktuelle Nachrichten, Fachartikel, Blogbeitrรคge, Webinare, Tutorials, oder Tipps & Tricks handelt, TSecurity.de bietet seinen Nutzern einen umfassenden รœberblick รผber die wichtigsten Aspekte der IT-Sicherheit in einer sich stรคndig verรคndernden digitalen Welt.

16.12.2023 - TIP: Wer den Cookie Consent Banner akzeptiert, kann z.B. von Englisch nach Deutsch รผbersetzen, erst Englisch auswรคhlen dann wieder Deutsch!

Google Android Playstore Download Button fรผr Team IT Security
RSS Feed Symbol fรผr Team IT Security 800+ IT News als RSS Feed abonnieren



๐Ÿ“š Ruby on Rails 3.0/4.0 Active Record Handler erweiterte Rechte


๐Ÿ’ก Newskategorie: Sicherheitslรผcken
๐Ÿ”— Quelle: scip.ch

Allgemein

scipID: 80676
Betroffen: Ruby on Rails 3.0/4.0
Veröffentlicht: 25.01.2016
Risiko: problematisch

Erstellt: 27.01.2016
Eintrag: 70.8% komplett

Beschreibung

Es wurde eine problematische Schwachstelle in Ruby on Rails 3.0/4.0 entdeckt. Hiervon betroffen ist eine unbekannte Funktion der Komponente Active Record Handler. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Integrität.

Die Schwachstelle wurde am 25.01.2016 in Form eines bestätigten Release Notess (Website) publik gemacht. Das Advisory kann von weblog.rubyonrails.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 29.09.2015 unter CVE-2015-7577 geführt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 3.2.22.1, 4.1.14.1 oder 4.2.5.1 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (110100) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 80675, 80677, 80678 und 80679.

CVSS

Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N) [?]
Temp Score: 3.7 (CVSS2#E:U/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein
Status: Unbewiesen

Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Ruby on Rails 3.2.22.1/4.1.14.1/4.2.5.1

Timeline

29.09.2015 | CVE zugewiesen
25.01.2016 | Advisory veröffentlicht
25.01.2016 | Gegenmassnahme veröffentlicht
27.01.2016 | VulDB Eintrag erstellt
27.01.2016 | VulDB Eintrag aktualisiert

Quellen

Advisory: weblog.rubyonrails.org
Status: Bestätigt

CVE: CVE-2015-7577 (mitre.org) (nvd.nist.org) (cvedetails.com)

X-Force: 110100 – Ruby on Rails Active Record security bypass

Siehe auch: 80675, 80677, 80678, 80679, 80680, 80681, 80682 , 80683

...



Sharing is caring on Social Media

๐Ÿ”— Reddit
๐Ÿ”— Telegram
๐Ÿ”— LinkedIn
๐Ÿ”— Xing
๐Ÿ”— Twitter
๐Ÿ”— Whatsapp
๐Ÿ”— Facebook
๐Ÿ”— Flipboard

Join the Team IT Security Community

๐Ÿ”— "IT Sicherheit" Reddit-Gruppe
๐Ÿ”— "IT Sicherheit" Telegramm-Seite










๐Ÿ“Œ Ruby on Rails 3.0/4.0 Active Record Handler erweiterte Rechte


๐Ÿ“ˆ 60.79 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 Active Record Handler erweiterte Rechte


๐Ÿ“ˆ 60.79 Punkte

๐Ÿ“Œ CVE-2015-7580 | Ruby on Rails 3.0/4.0 rails-html-sanitizer cross site scripting (XFDB-110103 / rails-cve20157580-xss)


๐Ÿ“ˆ 51.4 Punkte

๐Ÿ“Œ Ruby on Rails bis 4.2.7.0 Action Record Query erweiterte Rechte


๐Ÿ“ˆ 44.72 Punkte

๐Ÿ“Œ Ruby on Rails bis 4.2.7.0 Action Record Query erweiterte Rechte


๐Ÿ“ˆ 44.72 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 Active Model erweiterte Rechte


๐Ÿ“ˆ 43.9 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 Active Model erweiterte Rechte


๐Ÿ“ˆ 43.9 Punkte

๐Ÿ“Œ CVE-2015-7577 | Ruby on Rails 3.0/4.0 Active Record access control (RHSA-2016:0296 / BID-81806)


๐Ÿ“ˆ 42.98 Punkte

๐Ÿ“Œ CVE-2015-7579 | Ruby on Rails 3.0/4.0 rails-html-sanitizer cross site scripting (BID-81804 / XFDB-110102)


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ CVE-2015-7578 | Ruby on Rails 3.0/4.0 rails-html-sanitizer cross site scripting (BID-81802 / XFDB-110101)


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 rails-html-sanitizer Cross Site Scripting


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ ๐Ÿš€Ruby on Rails for beginners: build an online store with Rails


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 rails-html-sanitizer Cross Site Scripting


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 rails-html-sanitizer Cross Site Scripting


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 rails-html-sanitizer Cross Site Scripting


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 rails-html-sanitizer Cross Site Scripting


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ Ruby on Rails 3.0/4.0 rails-html-sanitizer Cross Site Scripting


๐Ÿ“ˆ 37.94 Punkte

๐Ÿ“Œ Ruby on Rails bis 3.2.22.1/4.1.14.1 Action Pack erweiterte Rechte


๐Ÿ“ˆ 35.06 Punkte

๐Ÿ“Œ Ruby on Rails bis 3.2.22.1/4.1.14.1 Action Pack erweiterte Rechte


๐Ÿ“ˆ 35.06 Punkte

๐Ÿ“Œ CVE-2016-6317 | Ruby on Rails up to 4.2.7.0 Action Record Query access control (FEDORA-2016-5760339e76 / Nessus ID 94808)


๐Ÿ“ˆ 34.14 Punkte

๐Ÿ“Œ Ruby on Rails: XSS by file (Active Storage `Proxying`)


๐Ÿ“ˆ 33.32 Punkte

๐Ÿ“Œ CVE-2016-0753 | Ruby on Rails 3.0/4.0 Active Model input validation (RHSA-2016:0296 / BID-82247)


๐Ÿ“ˆ 33.32 Punkte

๐Ÿ“Œ CVE-2019-5420: An RCE in Ruby on Rails due to an insecure deserialization bug in the Active Storage component


๐Ÿ“ˆ 33.32 Punkte

๐Ÿ“Œ Remote Code Execution via Ruby on Rails Active Storage Insecure Deserialization


๐Ÿ“ˆ 33.32 Punkte

๐Ÿ“Œ espeak-ruby Gem bis 1.0.2 auf Ruby lib/espeak/speech.rb speak/save/bytes/bytes_wav erweiterte Rechte


๐Ÿ“ˆ 32.62 Punkte

๐Ÿ“Œ Low CVE-2017-12098: Rails admin project Rails admin


๐Ÿ“ˆ 26.92 Punkte

๐Ÿ“Œ Low CVE-2020-36190: Rails admin project Rails admin


๐Ÿ“ˆ 26.92 Punkte

๐Ÿ“Œ Citrix XenServer bis 7.0 Active Directory Account Handler erweiterte Rechte


๐Ÿ“ˆ 26.65 Punkte

๐Ÿ“Œ Citrix XenServer bis 7.0 Active Directory Account Handler erweiterte Rechte


๐Ÿ“ˆ 26.65 Punkte

๐Ÿ“Œ Your Active DAD (Active Domain Active Defense) Primer


๐Ÿ“ˆ 26.52 Punkte

๐Ÿ“Œ WEBCAST: Active Domain Active Defense (Active DAD) Primer with John Strand


๐Ÿ“ˆ 26.52 Punkte

๐Ÿ“Œ Ruby on Rails Development Web Console (v2) Code Execution


๐Ÿ“ˆ 24.48 Punkte

๐Ÿ“Œ [remote] - Ruby on Rails Development Web Console (v2) Code Execution


๐Ÿ“ˆ 24.48 Punkte

๐Ÿ“Œ Ruby On Rails ActionPack Inline ERB Code Execution


๐Ÿ“ˆ 24.48 Punkte

๐Ÿ“Œ [remote] - Ruby on Rails ActionPack Inline ERB Code Execution


๐Ÿ“ˆ 24.48 Punkte

matomo

Kontakt

24/7 kontakt@tsecurity.de

Weitere Informationen

Google Android Playstore Download Button fรผr Team IT Security
๐Ÿ”— Impressum
๐Ÿ”— Datenschutz
Paypal Spenden fรผr Projekt

Social Media

๐Ÿ”— Facebook
๐Ÿ”— Reddit
๐Ÿ”— Team IT Security als Elektron App
๐Ÿ”— © 2015-2023 Team IT Security Nachrichtenportal รผber Cybersecurity
๐Ÿ”— CMS "myDraft" a PHP Portal Software