USN-7260-1: OpenRefine-Sicherheitslücken

USN-7260-1: OpenRefine Sicherheitslücken

1. Februar 2025

Mehrere Sicherheitsprobleme wurden in OpenRefine behoben.

Veröffentlichungen
Ubuntu 24.10 Ubuntu 24.04 LTS Ubuntu 22.04 LTS

Pakete
openrefine - leistungsstarkes Werkzeug für die Arbeit mit unübersichtlichen Daten

Details
Es wurde festgestellt, dass OpenRefine das Öffnen von tar-Dateien nicht richtig
Dateien. Wenn ein Benutzer oder eine Anwendung dazu verleitet wurde, eine manipulierte tar
Datei zu öffnen, könnte ein Angreifer dieses Problem möglicherweise zur Ausführung von beliebigem Code nutzen.
Dieses Problem betrifft nur Ubuntu 22.04 LTS. (CVE-2023-37476)

Es wurde entdeckt, dass OpenRefine Dateirechte und Benutzerauthentifizierung nicht korrekt
Benutzer-Authentifizierung. Ein nicht-authentifizierter Angreifer könnte dieses Problem möglicherweise ausnutzen
Problem ausnutzen, um sensible Informationen auszuspähen oder beliebigen Code auszuführen. Dieses Problem
betraf nur Ubuntu 22.04 LTS. (CVE-2023-41886, CVE-2023-41887)

Es wurde entdeckt, dass OpenRefine das Ändern von Datenbankeinstellungen nicht
Einstellungen bei der Abfrage geändert werden können. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen
Angreifer dieses Problem nutzen, um vertrauliche Informationen auszuspähen. Dieses Problem betraf nur
Ubuntu 22.04 LTS und Ubuntu 24.04 LTS. (CVE-2024-23833)

Es wurde entdeckt, dass OpenRefine den GET-Parameter für autorisierte Befehle nicht richtig bereinigt.
Parameter für autorisierte Befehle nicht richtig bereinigt, was zu einer Cross-Site-Scripting
Schwachstelle führt. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um
beliebigen Code auszuführen. (CVE-2024-47878)

Es wurde entdeckt, dass OpenRefine Cross-Site-Request-Forgery nicht richtig
Request Forgery verhindert, wenn der Befehl preview-expression ausgeführt wird. Wenn ein Benutzer oder
Anwendung dazu verleitet wird, eine speziell gestaltete Webseite zu öffnen, könnte ein
Angreifer dieses Problem möglicherweise ausnutzen, um beliebigen Code auszuführen.
(CVE-2024-47879)

Es wurde entdeckt, dass OpenRefine HTTP-Header nicht richtig behandelte.
Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um beliebigen Code auszuführen.
(CVE-2024-47880)

Es wurde entdeckt, dass OpenRefine Datenbankerweiterungen nicht korrekt behandelte.
Ein Angreifer könnte diesen Fehler möglicherweise ausnutzen, um beliebigen Code auszuführen.
(CVE-2024-47881)

Es wurde entdeckt, dass OpenRefine HTML-Tags in Ausnahmemeldungen nicht richtig escaped hat.
Ausnahmemeldungen nicht korrekt escaped hat, was eine Code-Injektion ermöglichen könnte. Wenn ein Benutzer oder
Anwendung dazu verleitet wurde, eine bösartige Datei zu öffnen, könnte ein Angreifer
Angreifer dieses Problem zur Ausführung von beliebigem Code nutzen. (CVE-2024-47882)

Es wurde entdeckt, dass OpenRefine Pfade nicht korrekt behandelte, wenn
Ausführung des load-language-Befehls. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen
Angreifer dieses Problem ausnutzen, um sensible Informationen auszuspähen. (CVE-2024-49760)

Anweisungen zur Aktualisierung
Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:

Ubuntu 24.10

• openrefine - 3.7.8-1ubuntu0.1
  Ubuntu 24.04
• openrefine - 3.7.7-1ubuntu0.1~esm1
  Ubuntu 22.04
• openrefine - 3.5.2-1ubuntu0.1~esm1

Im Allgemeinen wird ein Standard-System-Update alle notwendigen Änderungen vornehmen.