Ruby on Rails: Aktualisierungen schließen kritische Sicherheitslücken
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ruby on Rails Aktualisierungen schließen kritische Sicherheitslücken

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Anzeige

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.


Lala Satalin... 12. Feb 2013

Es ist leider nicht so einfach Lücken zu finden. Wenn du es allerdings besser kannst...

Kommentieren



Anzeige

  1. Softwarearchitekt (m/w) - Portale und Internetanwendungen
    Deutscher Genossenschafts-Verlag eG, Wiesbaden
  2. Call Center Coordinator (m/w)
    di support GmbH, Eschborn
  3. Informatikerin / Informatiker oder Wirtschaftsinformatikerin / Wirtschaftsinformatiker
    Otto-Friedrich-Universität Bamberg, Bamberg
  4. Web-Devoloper/in
    GAMESROCKET GmbH, Aschaffenburg

 

Detailsuche


Folgen Sie uns
       


  1. ARD.connect

    HbbTV-Angebote über Smartphone oder Tablet steuern

  2. Administrationswerkzeug

    HPs Oneview wird auf Racks, Tower und Netzwerk erweitert

  3. Ortsnetze

    Telekom startet Vectoring für 200.000 Haushalte

  4. HP Proliant DL160 und 180

    Mit neuen Einstiegsservern gegen Huawei und Supermicro

  5. Zoff in Wikipedia

    Foundation lenkt im Streit mit deutscher Community ein

  6. Olympus Pen E-PL7

    Systemkamera für Selfies

  7. Virtual Reality

    Leap Motion setzt auf Hände und Augen

  8. KDE

    Plasma Active auf Frameworks 5 portiert

  9. Urheberrecht

    E-Book-Anbieter dürfen Weiterverkauf von Dateien untersagen

  10. Gehirnforschung

    Licht programmiert Gedächtnis um



Haben wir etwas übersehen?

E-Mail an news@golem.de



IT und Energiewende: Intelligenztest für Stromnetze und Politik
IT und Energiewende
Intelligenztest für Stromnetze und Politik

Surface Pro 3 im Test: Das Tablet, das Notebook sein will
Surface Pro 3 im Test
Das Tablet, das Notebook sein will
  1. Microsoft-Tablet Hitzeprobleme beim Surface Pro 3 mit Core i7
  2. Microsoft Surface Pro 3 ab Ende August in Deutschland erhältlich
  3. Windows-Tablet Microsoft senkt Preise des Surface Pro 2

Test Rules: Gehirntraining für Fortgeschrittene
Test Rules
Gehirntraining für Fortgeschrittene
  1. Test Transworld Endless Skater Tony Hawk beim Temple Run
  2. Test Divinity Original Sin Schwergewicht mit Charme und Scherzen
  3. Test Nosferatu - Twilight Runner Knuddel-Vampir vs. Knoblauch-Aliens

    •  / 
    Zum Artikel