CVE-2013-0155 と CVE-2013-0156 に対する修正。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

Ruby Web アプリケーション開発フレームワークの Rails が、入力パラメーターにおいて不十分な検証を行っていたことが判明しました。これにより、意図しないタイプの変換が可能になります。攻撃者がこれを利用して、認証システムのバイパス、任意の SQL のインジェクション、任意のコードのインジェクションおよび実行、またはアプリケーションでの DoS 攻撃を行う可能性があります。

複数のセキュリティ問題を修正する更新済みの rubygem-actionpack、rubygem-activesupport、rubygem-activerecord パッケージが、Red Hat Subscription Asset Manager で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重大だと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Ruby on Rails は、Web アプリケーション開発用のモデルビューコントローラー（MVC）フレームワークです。Action Pack では、コントローラーとビューのコンポーネントを実装しています。Active Record は、オブジェクトを使用してデータベースエントリにアクセスするために、オブジェクトリレーショナルマッピングを実装します。Active Support では、Rails フレームワークで Ruby により使用される、サポートとユーティリティのクラスを提供しています。

Ruby on Rails が　HTTP リクエストの XML パラメーター解析を実行する方法で、複数の欠陥が見つかりました。リモートの攻撃者が、これらの欠陥を利用して、Ruby on Rails アプリケーションの権限での任意のコードの実行、SQL インジェクション攻撃の実行、または特別に細工された　HTTP リクエストを使用した認証のバイパスを行う可能性があります。(CVE-2013-0156)

Red Hat は、Ruby on Rails を使用するアプリケーションで、リモートコードの実行が可能となる CVE-2013-0156 の問題が、一般的に悪用されていると認識しています。

rubygem-activerecord に複数の入力検証の脆弱性が発見されました。リモートの攻撃者が、これらの欠陥を利用して、rubygem-activerecord を使用するアプリケーションに対して SQL インジェクション攻撃を実行する可能性があります。（CVE-2012-2661、CVE-2012-2695、CVE-2012-6496、 CVE-2013-0155）

rubygem-actionpack に複数の入力検証の脆弱性が発見されました。リモートの攻撃者が、これらの欠陥を利用して、rubygem-actionpack と rubygem-activerecord を使用するアプリケーションに対して SQL インジェクション攻撃を実行する可能性があります。（CVE-2012-2660、 CVE-2012-2694）

rubygem-actionpack に複数のクロスサイトスクリプティング（XSS）の欠陥が見つかりました。リモートの攻撃者が、これらの欠陥を利用して、rubygem-actionpack を使用するアプリケーションのユーザーに対して XSS 攻撃を実行する可能性があります。
（CVE-2012-3463、 CVE-2012-3464、CVE-2012-3465）

rubygem-actionpack の HTTP ダイジェスト認証の実装に、欠陥が見つかりました。リモートの攻撃者が、この欠陥を利用して、rubygem-actionpack とダイジェスト認証を使用するアプリケーションでサービス拒否を引き起こす可能性があります。(CVE-2012-3424)

ユーザーは、これらの更新済みの rubygem-actionpack、rubygem-activesupport、rubygem-activerecord パッケージへアップグレードし、これらの問題を解決することが推奨されます。この更新を有効にするには、Katello を再起動する必要があります（「service katello restart」）。

リモートホストは、セキュリティ更新 2013-001 が適用されていない Mac OS X 10.6 または 10.7 バージョンを実行しています。この更新は、次のコンポーネントのために考えられた数々のセキュリティ関連の修正を含んでいます。

- Apache
 - CoreTypes（10.7 のみ）
 - International Components for Unicode
 - Identity Services（10.7 のみ）
 - ImageIO
 - Messages Server（Server のみ）
 - PDFKit
 - Podcast Producer Server（Server のみ）
 - PostgreSQL（Server のみ）
 - Profile Manager（10.7 サーバーのみ）
 - QuickTime
 - Ruby（10.6 Server のみ）
 - Security
 - Software Update
 - Wiki Server（10.7 Server のみ）

注意：また、この更新ではマルウェア駆除ツールを実行し、これにより大半の一般的な種類のマルウェアは駆除されます。

この更新では、RubyOnRails 2.3 スタックを 2.3.16 に更新します。また、この更新では、RubyOnRails 3.2 スタックを 3.2.11 に更新します。

セキュリティとバグ修正が行われました。最高位：CVE-2013-0333：JSON sql/コード注入の問題が修正されました。CVE-2012-5664：Active Record の SQL インジェクションの脆弱性が修正されました。CVE-2012-2695：健全なネスト化されたハッシュによる SQL インジェクションが修正されました。CVE-2013-0155：
Rails の Ruby の安全でないクエリ生成のリスクが修正されました。
CVE-2013-0156：Action Pack のパラメーター解析の複数の脆弱性が修正されました。

リモートのMac OS X 10.8 ホストには、2.2.1 より前のバージョンの OS X Server がインストールされています。したがって、次の脆弱性の影響を受けます：

- XML パラメーターが不適切に処理されるため、Ruby on Rails にタイプキャスティングの問題が存在します。リモートの攻撃者がこの問題を悪用し、任意のコードを Profile Manager または Wiki Server のコンポーネントのいずれかを通じて実行する可能性があります。
 (CVE-2013-0156)

- JSON データが不適切に処理されるため、Ruby on Rails にタイプキャスティングの問題が存在します。リモートの攻撃者がこれを悪用し、任意のコードを Wiki Server コンポーネントを通じて実行する可能性があります。(CVE-2013-0333)

リモートホストは、GLSA-201412-28 で説明されている脆弱性の影響を受けます（Ruby on Rails：複数の脆弱性）

Ruby on Rails で複数の脆弱性が発見されました。詳細については、以下で参照されている CVE 識別子をレビューしてください。
 影響：

リモートの攻撃者が、任意のコードを実行すること、またはサービス拒否を起こすことがあります。さらに、リモートの攻撃者が任意の SQL コマンドを実行したり、フォーム入力のパラメーター名を変更してシステム内の任意のレコードを変更したり、意図されたアクセス制限をバイパスしたり、任意の表示をレンダリングしたり、任意の Web スクリプトまたは HTML を注入したり、クロスサイトリクエスト偽造（CSRF）攻撃を実行したりする可能性があります。
 回避策：

現時点で、既知の回避策はありません。

複数のセキュリティ問題を修正する更新済みのrubygem-actionpack、rubygem-activesupport、ruby193-rubygem-actionpack、ruby193-rubygem-activesupportパッケージが、Red Hat OpenShift Enterprise 1.0で利用可能になりました。Red Hatセキュリティレスポンスチームは、この更新がセキュリティに及ぼす影響を重要度最高として評価しています。詳細な重要度評価を示すCommon Vulnerability Scoring System（CVSS）ベーススコアは「参照」セクションのCVEリンクで確認できます。Ruby on Railsは、Webアプリケーション開発用のmodel-view-controller（MVC）フレームワークです。Action Packは、コントローラーとビューのコンポーネントを実装します。Active Supportは、RailsフレームワークでRubyが使用する、サポートとユーティリティのクラスを提供します。Ruby on RailsがHTTPリクエストのXMLパラメーター解析を実行する方法に、複数の欠陥が見つかりました。リモートの攻撃者が、これらの欠陥を悪用し、Ruby on Railsアプリケーションの権限で任意のコードを実行する、SQLインジェクション攻撃を仕掛ける、特別に細工されたHTTPリクエストを使用して認証をバイパスするなどの可能性があります。（CVE-2013-0156）Red Hatは、CVE-2013-0156の問題が公開されていて、Ruby on Railsを使用するアプリケーションで、リモートでコードを実行される可能性があることを認識しています。Red Hat OpenShift Enterpriseのすべてのユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。Red Hat OpenShift Enterprise管理者は、この更新を有効にするために、openshift-brokerサービスとopenshift-consoleサービスを再起動する必要があります。OpenShiftのユーザーは、Ruby on Railsを実行中のアプリケーションを更新することが推奨されます。

Ruby on Rails チームによる報告：

2 つのハイリスク脆弱性が発見されました：

（CVE-2013-0155）Active Record が JSON パラメーター解析と共に使用される際に、脆弱性が存在します。

Active Record が JSON パラメーターの解析方法と組み合せてパラメーターを解釈することにより、攻撃者は「IS NULL」または空の「WHERE」節を伴う予期せぬデータベースクエリを発行すること可能です。この発行により攻撃者が、SQL クエリに任意の値を挿入できるようになるわけではありませんが、多くのユーザーが想定していないタイミングで、攻撃者がクエリに NULL をチェックさせたり、WHERE 節を削除したりする可能性があります。

（CVE-2013-0156）Ruby on Rails のパラメーター解析コードに複数の脆弱性が存在するため、攻撃者は、認証システムをバイパスしたり、任意の SQL を注入したり、任意のコードを注入や実行したり、あるいは Rails アプリケーション上で DoS 攻撃を実施したりすることが可能です。

Ruby on Rails のパラメーター解析コードにより、アプリケーションは自動的に値を文字列から、ある特定のデータ型にキャストによって変換することが可能です。
ただし、この型変換コードは、シンボルの作成や YAML の解析など、ユーザーから提供されたデータへの実施には適していない特定の変換をサポートしていました。これらの不適切な変換は、攻撃者に利用されて、Rails アプリケーションを危険にさらす可能性があります。

upstream からパッチ 633974b2759d9b92 および 4540e7102b803624 をインポートして、XML パーサーから記号および YAML 強制を削除します。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
63635	Fedora 18：rubygem-actionpack-3.2.8-2.fc18 / rubygem-activerecord-3.2.8-3.fc18 / etc（2013-0568）	Nessus	Fedora Local Security Checks	2013/1/21	2021/1/11	high
63457	Debian DSA-2604-1：rails - 不充分な入力検証	Nessus	Debian Local Security Checks	2013/1/10	2021/1/11	high
64076	RHEL 6：Subscription Asset Manager の Ruby on Rails（RHSA-2013:0154）	Nessus	Red Hat Local Security Checks	2013/1/24	2021/1/14	high
63654	Fedora 17：rubygem-actionpack-3.0.11-8.fc17 / rubygem-activemodel-3.0.11-2.fc17 / etc（2013-0635）	Nessus	Fedora Local Security Checks	2013/1/23	2021/1/11	high
65578	Mac OS X 複数の脆弱性（セキュリティ更新 2013-001）	Nessus	MacOS X Local Security Checks	2013/3/15	2018/7/14	high
74881	openSUSE セキュリティ更新：ruby（openSUSE-SU-2013:0278-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high
64476	Mac OS X：OS X Server < 2.2.1 複数の脆弱性	Nessus	MacOS X Local Security Checks	2013/2/5	2018/7/14	high
79981	GLSA-201412-28：Ruby on Rails：複数の脆弱性	Nessus	Gentoo Local Security Checks	2014/12/15	2021/1/6	critical
119429	RHEL 6：Ruby on Rails（RHSA-2013:0153）	Nessus	Red Hat Local Security Checks	2018/12/6	2021/1/14	high
63435	FreeBSD：rubygem-rails -- 複数の脆弱性（ca5d3272-59e3-11e2-853b-00262d5ed8ee）	Nessus	FreeBSD Local Security Checks	2013/1/9	2021/1/6	high
63657	Fedora 16：rubygem-actionpack-3.0.10-10.fc16 / rubygem-activemodel-3.0.10-2.fc16 / etc（2013-0686）	Nessus	Fedora Local Security Checks	2013/1/23	2021/1/11	high
82157	Debian DLA-172-1：libextlib-ruby のセキュリティ更新	Nessus	Debian Local Security Checks	2015/3/26	2021/1/11	high

検出

プラグインの検索

high

high

high

high

high

high

high

critical

high

high

high

high