Anzeige
In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ruby on Rails Aktualisierungen schließen kritische Sicherheitslücken

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Anzeige

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.


Lala Satalin... 12. Feb 2013

Es ist leider nicht so einfach Lücken zu finden. Wenn du es allerdings besser kannst...

Kommentieren



Anzeige

  1. Platform Consultant (m/w) SAP HANA & Data Quality Services
    Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Fachinformatikerin / Fachinformatiker Second Level Support / First Level Support
    Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., München
  3. Planungsingenieur/in Systemplanung und -projektierung
    Hessischer Rundfunk Anstalt des öffentlichen Rechts, Frankfurt
  4. SAP Berater (m/w) für das Modul SD (Außenhandel) und SAP GTS Export
    Continental AG, Eschborn

Detailsuche


Spiele-Angebote
  1. NEU: XCOM 2 (Key)
    38,49€
  2. NEU: Rise of the Tomb Raider (Key)
    35,95€
  3. NEU: Steam Premium Überraschungsspiel
    2,95€

Weitere Angebote


Folgen Sie uns
       


  1. Overwatch

    Stufenlos schöner - aber nicht stärker

  2. Opensuse

    Konfigurationstool Yast ist grundlegend überarbeitet worden

  3. Internet der Dinge

    Dein Kühlschrank beobachtet dich

  4. Autonomes Fahren

    US-Transportbehörde will Computer als Fahrer definieren

  5. Oculus Ready

    Bundles aus PC und Rift kosten mindestens 1.500 US-Dollar

  6. Unravel im Test

    Feinwollig schön und frustig schwer

  7. Sparkle-Installer

    Gatekeeper-Sicherung für Macs lässt sich umgehen

  8. Geoblocking

    Paypal kündigt Anbietern von Netflix-VPNs

  9. Sandisk Ultra II 960 GByte im Test

    Die (noch) günstige gute Terabyte-SSD

  10. Sourceforge

    Keine Adware mehr beim Download



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Künstliche Intelligenz: Alpha Go spielt wie ein Japaner
Künstliche Intelligenz
Alpha Go spielt wie ein Japaner
  1. Deepmind Mit neuronalem Netz durch den Irrgarten
  2. Nachruf KI-Pionier Marvin Minsky mit 88 Jahren gestorben
  3. OpenAI Elon Musk unterstützt Forschung an gemeinnütziger KI

Astronomie: Die lange Suche nach Planet X
Astronomie
Die lange Suche nach Planet X
  1. Astronomie Schwarzes Loch stößt riesigen Energiestrahl aus
  2. Planet X Es könnte den neunten Planeten geben
  3. Weltall Woher stammt das Wow-Signal?

Asus Strix Soar im Test: Wenn die Soundkarte vom Pixelbeschleuniger bespielt wird
Asus Strix Soar im Test
Wenn die Soundkarte vom Pixelbeschleuniger bespielt wird
  1. Geforce GT 710 Nvidias Einsteigerkarte soll APUs überflüssig machen
  2. Theremin Geistermusik mit dem Arduino
  3. Musikdienst Sonos soll ab Mitte Dezember Apple Music streamen können

  1. Nicht nur Überwachung und Spionage ist denkbar

    Netzweltler | 16:16

  2. Vorgeschichte

    Rodrigogonzales | 16:15

  3. Re: Finde ich gut, das sich alle der...

    pythoneer | 16:15

  4. weichgespühlter Kinderkram

    bltpgermany | 16:14

  5. Re: ...weil es keine nicht-vernetzten mehr gibt.

    SelfEsteem | 16:14


  1. 16:00

  2. 15:56

  3. 15:14

  4. 14:34

  5. 14:17

  6. 14:00

  7. 12:38

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel