In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ruby on Rails Aktualisierungen schließen kritische Sicherheitslücken

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Anzeige

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.


Lala Satalin... 12. Feb 2013

Es ist leider nicht so einfach Lücken zu finden. Wenn du es allerdings besser kannst...

Kommentieren



Anzeige

  1. (System-)Administrator (m/w) für Monitoring- / Testsystem
    Unitymedia GmbH, Stuttgart-Wangen
  2. Softwaretester - Engineering Software (m/w)
    Festo AG & Co. KG, Esslingen bei Stuttgart
  3. IT-Senior Analyst (m/w) Customer Order Management
    Media-Saturn IT Services GmbH, Ingolstadt
  4. Leiter (m/w) Elektronik- / Embedded Software-Entwicklung
    invenio Group AG, Rüsselsheim, Mannheim, Karlsruhe oder Stuttgart

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: Until Dawn Special Edition PS4
    79,95€
  2. NEU: Über 1.000 MP3-Alben für je 5€
    (u. a. Kraftklub, Lindsey Stirling, Eminem, Guns N Roses, Bloodhound Gang, Sido)
  3. TIPP: Blu-ray-Tipps aus Filmaktion
    (u. a. Transformers 4 8,97€, Interstellar 12,99€, Fast & Furious 1-6 26,97€, Zurück in die...

 

Weitere Angebote


Folgen Sie uns
       


  1. Hands Free Payment

    Google will das Bezahlen revolutionieren

  2. Googles VR-Expeditions

    Cardboards müssen an die Schulen!

  3. FBI-Panne

    Pornos, Drogen und Malware bei Megaupload

  4. Cardboard 2.0

    Google schnallt ein Phablet vors Auge

  5. Baikal-T1

    Russland-Prozessor nutzt die MIPS-Architektur

  6. SWYO

    PC-Spielestreaming für jeden

  7. Roboter

    Wenn der Staubsauger die Wohnung filmt

  8. Google Jump

    Google verbindet 16 Gopros zu einem Insektenauge

  9. FPGAs

    Intel will FPGA-Experten Altera doch noch kaufen

  10. Karten-App

    Offline-Navigation für Google Maps geplant



Haben wir etwas übersehen?

E-Mail an news@golem.de



Golem.de-Test mit Kaspersky: So sicher sind Fototerminals und Copyshops
Golem.de-Test mit Kaspersky
So sicher sind Fototerminals und Copyshops
  1. Studie Docker-Images oft mit Sicherheitslücken
  2. US-Steuerbehörde Hunderttausend Konten kompromittiert
  3. Hack auf Datingplattform Sexuelle Vorlieben von Millionen Menschen veröffentlicht

The Witcher 3 im Grafiktest: Mehr Bonbon am PC
The Witcher 3 im Grafiktest
Mehr Bonbon am PC
  1. CD Projekt Red The Witcher 3 hat Speicherproblem auf Xbox One
  2. Sabotagevorwurf Witcher-3-Streit zwischen AMD und Nvidia
  3. The Witcher 3 im Test Wunderschönes Wohlfühlabenteuer

Angriff auf kritische Infrastrukturen: Bundestag, bitte melden!
Angriff auf kritische Infrastrukturen
Bundestag, bitte melden!
  1. Umfrage US-Bürger misstrauen Regierung beim Umgang mit Daten
  2. Spionage NSA wollte Android-App-Stores für Ausspähungen nutzen
  3. Stellenausschreibung Das GCHQ sucht White-Hat-Hacker

  1. Re: Man geht mit den Treibern bei allen...

    Lala Satalin... | 12:18

  2. Re: Der typische Firmeninhaber

    Nocta | 12:18

  3. Re: Ohne jede Bösartigkeit: Schwere...

    Colon Largrande | 12:14

  4. Dafür ist der Abstand der Kameras und die...

    Tigerf | 12:13

  5. Re: Das "B" in FBI steht für...

    felyyy | 12:13


  1. 12:22

  2. 11:59

  3. 11:58

  4. 11:30

  5. 11:10

  6. 10:59

  7. 10:26

  8. 09:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel