Red Hat OpenShift Enterprise 1.1が利用可能になりました。Red Hatセキュリティレスポンスチームは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System（CVSS）のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。Red Hat OpenShift Enterpriseは、オンプレミスまたはプライベートクラウド展開用に設計された、クラウドコンピューティングのサービスとしてのプラットフォーム（PaaS）ソリューションです。このリリースでの変更点については、『Red Hat OpenShift Enterprise 1.1リリースノート』を参照してください。このリリースノートは、https://access.redhat.com/knowledge/docs/から間もなく入手できるようになります。この更新では、次のセキュリティの問題も修正されています：Jenkinsのマスター暗号化キーは、JenkinsをホストしているHTTPサーバー経由で取得できることがわかりました。リモートの攻撃者がこの欠陥を悪用してサーバーにアクセスし、Jenkinsを実行しているユーザーの権限で任意のコードを実行する可能性があります。この問題は、スレーブが搭載され、匿名の読み取りアクセスも許可されている（デフォルト構成ではない）Jenkinsインスタンスにのみ影響します。この問題を解決するには、手動による操作も必要です。詳細については、「参照」セクションにリンクされている「Jenkinsセキュリティアドバイザリ2013-01-04」を参照してください。（CVE-2013-0158）rhc-chkスクリプトがデバッグモードで実行されるとき、その出力にデータベースパスワードなどの秘密情報がプレーンテキストで含まれていました。このスクリプトはトラブルシューティングの際によく使用されるため、この欠陥によりユーザーは意図せずにサポートチャネルで秘密情報（Bugzillaレポートなど）を漏えいさせる可能性があります。この更新により、rhc-chkスクリプトが削除されます。（CVE-2012-5658）Jenkins Webインターフェイスの複数の欠陥により、リモートの攻撃者がHTTP応答分割とクロスサイトスクリプティング（XSS）攻撃を仕掛ける可能性があり、さらに、オープンリダイレクトの欠陥を悪用して任意のページに被害者をリダイレクトする可能性があります。（CVE-2012-6072、CVE-2012-6074、CVE-2012-6073）rubygem-activerecord動的ファインダーがメソッドパラメーターからオプションを抽出していた方法に欠陥が見つかりました。リモートの攻撃者がこの欠陥を悪用し、Active Record 動的ファインダーメソッドを使用しているアプリケーションに対して SQL インジェクション攻撃を仕掛ける可能性があります。（CVE-2012-6496）openshift-port-proxy-cfgプログラムが安全でない方法で一時ファイルを作成していました。ローカルの攻撃者がこの欠陥を悪用してシンボリックリンク攻撃を仕掛け、rootユーザーがアクセス可能な任意のファイルを「0」または「1」で上書きすることでサービス拒否を引き起こす可能性があります。デフォルトでは、OpenShiftは/tmp/ディレクトリに（ユーザーごとに）多インスタンス化を使用するため、ローカルの攻撃者による悪用の危険性が最小限に抑えられています。（CVE-2013-0164）CVE-2013-0164の問題は、Red Hat地域ITチームのMichael Scherer氏により発見されました。Red Hat OpenShift Enterprise 1.0のユーザーは、Red Hat OpenShift Enterprise 1.1にアップグレードすることが推奨されます。

CVE-2012-6496 の修正。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

いくつかのセキュリティ問題および複数のバグを修正し、いくつかの拡張機能を追加する Red Hat Subscription Asset Manager 1.2 が現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティ上の影響があると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Red Hat サブスクリプションアセットマネージャーは、クライアントのマシンでサブスクリプション情報やソフトウェア更新を処理するためのプロキシとして機能します。

Katello が、特定のリクエストを処理する際にユーザーの権限を適切にチェックしていないことが判明しました。認証されているリモートの攻撃者が、この欠陥を利用して、ターゲットのシステムの UUID がわかる場合、コンシューマーの認証情報をダウンロードすることや、その他のユーザーシステムの設定を変更する可能性があります。
(CVE-2012-5603)

rubygem-ldap_fluff の脆弱性により、Microsoft Active Directory サーバーがバックエンド認証サーバーとして使用されていた場合、リモートの攻撃者が認証をバイパスしたり、Subscription Asset Manager にログインしたりすることができました。(CVE-2012-5604)

インストールおよび構成プロセス中に実行している「/usr/share/katello/script/katello-generate-passphrase」ユーティリティは、「/etc/katello/secure/passphrase」ファイルで誰でも読み取りできる権限が設定されていることが見つかりました。ローカルの攻撃者がこの欠陥を使用して、Katello のパスフレーズを取得し、通常ではアクセス権のない情報に対するアクセスを与える可能性があります。(CVE-2012-5561)

注：この更新をインストールした後、「/etc/katello/secure/passphrase」ファイルが、root ユーザーおよびグループ、モード 0750 権限で所有されていることを確認してください。この問題がローカルユーザーも対象として含めるため、サイトは Katello パスフレーズの再作成を考慮する必要があります。

rubygem-rack に、3 つの欠陥が見つかりました。リモートの攻撃者がこれらの欠陥を利用して、rubygem-rack を使用しているアプリケーションに対して DoS 攻撃（サービス拒否攻撃）を仕掛ける可能性があります。（CVE-2012-6109、 CVE-2013-0183、CVE-2013-0184）

rubygem-activerecord 動的ファインダーがメソッドパラメーターからオプションを抽出していた方法で欠陥が見つかりました。リモートの攻撃者がこの欠陥を利用して、Active Record 動的ファインダーメソッドを使用しているアプリケーションに対して SQL インジェクション攻撃を仕掛ける可能性があります。
(CVE-2012-6496)

rubygem-ruby_parser の ruby_parser が安全でない方法で一時ファイルを作成していたことが見つかりました。ローカルの攻撃者はこの欠陥を使用して、シンボリックリンク攻撃を実行し、ruby_parser を使用するアプリケーションがアクセス可能な任意のファイルを上書きする可能性があります。(CVE-2013-0162)

CVE-2012-5603 の問題は、Red Hat の Lukas Zapletal 氏により発見されました。
CVE-2012-5604 は、Red Hat の Og Maciel 氏により発見されました。CVE-2012-5561 は、Red Hat クラウド品質エンジニアリングチーム の Aaron Weitekamp 氏により発見されました。CVE-2013-0162 は、Red Hat リージョナル IT チームの Michael Scherer 氏により発見されました。

これらの更新済みの Subscription Asset Manager パッケージには、多数のバグ修正と拡張機能が含まれています。スペースの関係で、変更すべてを文書化しこのアドバイザリに反映されているわけではありません。これらの変更の情報については、Red Hat Subscription Asset Manager 1.2 リリースノートを参照してください：

https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Subscription_Asset_Manager/1.2/html/Release_Notes/index.html

Red Hat Subscription Asset Manager の全ユーザーは、これらの更新済みパッケージへアップグレードし、この問題を修正して、さまざまな拡張機能を追加することが推奨されます。

Phenoelit の joernchen は、Web アプリケーション開発向けに適合させた MVC ruby ベースのフレームワークである Rails が、「find_by_*」メソッドへのユーザー指定の入力を適切に処理していないことを発見しました。これにより、Rails アプリケーション上の ruby がこれらのメソッドを利用する方法によっては、攻撃者が SQL インジェクション攻撃を行うことが可能となり、たとえば Authlogic が使用されるとともに、そのセッションの秘密トークンが既知の場合に、認証のバイパスなどが可能になります。

Ruby on Rails チームによる報告：

すべてのバージョンの Active Record に、SQL インジェクションの脆弱性があります。Active Record での動的ファインダーが、メソッドパラメーターからオプションを抽出する方法が原因で、メソッドパラメーターが間違って範囲として使用される可能性があります。注意深く細工されたリクエストが、その範囲を利用して、任意の SQL を注入する可能性があります。

複数のセキュリティ問題を修正する更新済みの rubygem-actionpack、rubygem-activesupport、rubygem-activerecord パッケージが、Red Hat Subscription Asset Manager で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重大だと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Ruby on Rails は、Web アプリケーション開発用のモデルビューコントローラー（MVC）フレームワークです。Action Pack では、コントローラーとビューのコンポーネントを実装しています。Active Record は、オブジェクトを使用してデータベースエントリにアクセスするために、オブジェクトリレーショナルマッピングを実装します。Active Support では、Rails フレームワークで Ruby により使用される、サポートとユーティリティのクラスを提供しています。

Ruby on Rails が　HTTP リクエストの XML パラメーター解析を実行する方法で、複数の欠陥が見つかりました。リモートの攻撃者が、これらの欠陥を利用して、Ruby on Rails アプリケーションの権限での任意のコードの実行、SQL インジェクション攻撃の実行、または特別に細工された　HTTP リクエストを使用した認証のバイパスを行う可能性があります。(CVE-2013-0156)

Red Hat は、Ruby on Rails を使用するアプリケーションで、リモートコードの実行が可能となる CVE-2013-0156 の問題が、一般的に悪用されていると認識しています。

rubygem-activerecord に複数の入力検証の脆弱性が発見されました。リモートの攻撃者が、これらの欠陥を利用して、rubygem-activerecord を使用するアプリケーションに対して SQL インジェクション攻撃を実行する可能性があります。（CVE-2012-2661、CVE-2012-2695、CVE-2012-6496、 CVE-2013-0155）

rubygem-actionpack に複数の入力検証の脆弱性が発見されました。リモートの攻撃者が、これらの欠陥を利用して、rubygem-actionpack と rubygem-activerecord を使用するアプリケーションに対して SQL インジェクション攻撃を実行する可能性があります。（CVE-2012-2660、 CVE-2012-2694）

rubygem-actionpack に複数のクロスサイトスクリプティング（XSS）の欠陥が見つかりました。リモートの攻撃者が、これらの欠陥を利用して、rubygem-actionpack を使用するアプリケーションのユーザーに対して XSS 攻撃を実行する可能性があります。
（CVE-2012-3463、 CVE-2012-3464、CVE-2012-3465）

rubygem-actionpack の HTTP ダイジェスト認証の実装に、欠陥が見つかりました。リモートの攻撃者が、この欠陥を利用して、rubygem-actionpack とダイジェスト認証を使用するアプリケーションでサービス拒否を引き起こす可能性があります。(CVE-2012-3424)

ユーザーは、これらの更新済みの rubygem-actionpack、rubygem-activesupport、rubygem-activerecord パッケージへアップグレードし、これらの問題を解決することが推奨されます。この更新を有効にするには、Katello を再起動する必要があります（「service katello restart」）。

リモートホストは、GLSA-201401-22 で説明されている脆弱性の影響を受けます（Active Record：SQL 注入）

Active Record メソッドのパラメーターは、スコープとして誤使用される可能性があります。
 影響：

リモートの攻撃者は、特別に細工された入力を利用して、任意の SQL ステートメントを実行する可能性があります。
 回避策：

この脆弱性は、入力をあらかじめ決められた値に変換することで緩和できる可能性があります。これは、Active Record を使用するコード内の「Post.find_by_id(params[:id])」のインスタンスを「Post.find_by_id(params[:id].to_s)」に変更することで達成できます。

この更新では、RubyOnRails 2.3 スタックを 2.3.16 に更新します。また、この更新では、RubyOnRails 3.2 スタックを 3.2.11 に更新します。

セキュリティとバグ修正が行われました。最高位：CVE-2013-0333：JSON sql/コード注入の問題が修正されました。CVE-2012-5664：Active Record の SQL インジェクションの脆弱性が修正されました。CVE-2012-2695：健全なネスト化されたハッシュによる SQL インジェクションが修正されました。CVE-2013-0155：
Rails の Ruby の安全でないクエリ生成のリスクが修正されました。
CVE-2013-0156：Action Pack のパラメーター解析の複数の脆弱性が修正されました。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
119431	RHEL 6：openshift（RHSA-2013:0220）	Nessus	Red Hat Local Security Checks	2018/12/6	2021/1/14	high
63531	Fedora 17：rubygem-activerecord-3.0.11-4.fc17（2013-0245）	Nessus	Fedora Local Security Checks	2013/1/15	2021/1/11	high
65172	RHEL 6：Subscription Asset Manager（RHSA-2013:0544）	Nessus	Red Hat Local Security Checks	2013/3/10	2021/1/14	high
63382	Debian DSA-2597-1：Rails - 入力検証エラー	Nessus	Debian Local Security Checks	2013/1/7	2021/1/11	high
63434	FreeBSD：rubygem-rails -- SQL インジェクションの脆弱性（b4051b52-58fa-11e2-853b-00262d5ed8ee）	Nessus	FreeBSD Local Security Checks	2013/1/9	2021/1/6	high
63530	Fedora 16：rubygem-activerecord-3.0.10-4.fc16（2013-0244）	Nessus	Fedora Local Security Checks	2013/1/15	2021/1/11	high
64076	RHEL 6：Subscription Asset Manager の Ruby on Rails（RHSA-2013:0154）	Nessus	Red Hat Local Security Checks	2013/1/24	2021/1/14	high
63527	Fedora 18：rubygem-activerecord-3.2.8-2.fc18（2013-0185）	Nessus	Fedora Local Security Checks	2013/1/15	2021/1/11	high
72077	GLSA-201401-22：Active Record：SQL 注入	Nessus	Gentoo Local Security Checks	2014/1/22	2021/1/6	high
74881	openSUSE セキュリティ更新：ruby（openSUSE-SU-2013:0278-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high

検出

プラグインの検索

high

high

high

high

high

high

high

high

high

high