Abo
  • Services:
Anzeige
In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ruby on Rails: Aktualisierungen schließen kritische Sicherheitslücken

In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Anzeige

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.


eye home zur Startseite
Lala Satalin... 12. Feb 2013

Es ist leider nicht so einfach Lücken zu finden. Wenn du es allerdings besser kannst...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt
  2. über JobLeads GmbH, Frankfurt am Main
  3. über access KellyOCG GmbH, Köln
  4. Deutsche Telekom Regional Services and Solutions GmbH, Biere


Anzeige
Top-Angebote
  1. 4,99€
  2. 299,90€ (UVP 649,90€)
  3. und bis zu 40 Euro Sofortrabatt erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Rosetta

    Mach's gut und danke für die Bilder!

  2. Smartwatch

    Android Wear 2.0 kommt doch erst nächstes Jahr

  3. G Suite

    Google verbessert Apps for Work mit Maschinenlernen

  4. Nahbereich

    Netzbetreiber wollen Vectoring II der Telekom blockieren

  5. Thermaltake Engine 27

    Bei diesem CPU-Kühler ist der Lüfter der Kühlkörper

  6. Intel

    Einfrieren bei Intels Bay-Trail-SoCs durch Patch abgefedert

  7. Iana-Transition

    US-Staaten wollen neue Internetaufsicht stoppen

  8. Tintenpatronensperre

    HP hält dem Druck nicht stand

  9. Generation EQ

    Mercedes stellt Elektro-SUV mit 500 km Reichweite vor

  10. Waipu TV im Hands on

    Das richtig flexible Internetfernsehen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft: Das bringt Windows Server 2016
Microsoft
Das bringt Windows Server 2016
  1. Microsoft Windows Server 2016 wird im September fertig

Soziale Netzwerke: Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
Soziale Netzwerke
Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
  1. iOS 10 und WatchOS 3.0 Apple bringt geschwätzige Tastatur-App zum Schweigen
  2. Rio 2016 Fancybear veröffentlicht medizinische Daten von US-Sportlern
  3. Datenbanksoftware Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

  1. Re: es gibt kein seriöses / gutes Online Dating ?

    grslbr | 11:46

  2. Schickt diesen Irren endlich in Rente!

    HelpbotDeluxe | 11:45

  3. Re: Mit 41 kWh 400km Reichweite

    Sebbi | 11:44

  4. Link auf PDF (Sandia Lab)

    M.P. | 11:44

  5. Re: In den Bereichen LWL zu legen wäre...

    gol | 11:43


  1. 11:52

  2. 11:30

  3. 11:17

  4. 11:03

  5. 10:56

  6. 10:32

  7. 09:55

  8. 09:36


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel