Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1185

Risikostufe 2

Titel:Rack CORS: Eine Schwachstelle ermöglicht u.a. das Umgehen von SicherheitsvorkehrungenDatum:17.07.2017Software:Rack CORS < 0.4.1Plattform:Red Hat Fedora 25, Extra Packages for Red Hat Enterprise Linux 7Auswirkung:Umgehen von SicherheitsvorkehrungenRemoteangriff:Ja, aus dem lokalen NetzwerkRisiko:niedrigCVE Liste:CVE-2017-11173Bezug: Fedora Security Update FEDORA-EPEL-2017-64c36b5282 (Fedora EPEL 7, rubygem-rack-cors-0.4.1-1)

Beschreibung

Rack::Cors bietet Cross-Origin Resource Sharing (CORS) Unterstützung für Rack-kompatible Web-Applikationen.

Eine Schwachstelle bei der Validierung von Domänennamen mit Hilfe von regulären Ausdrücken in Rack CORS ermöglicht es einem einfach authentisierten Angreifer im benachbarten Netzwerk Beschränkungen für das Cross-Origin Resource Sharing (CORS) zu umgehen und CORS-Anfragen mit einer bösartigen Webseite durchzuführen. Für Fedora 25 und Fedora EPEL 7 steht Rack CORS in der Version 0.4.1 als Sicherheitsupdate im Status 'testing' bereit.