In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ruby on Rails Aktualisierungen schließen kritische Sicherheitslücken

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Anzeige

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.


Lala Satalin... 12. Feb 2013

Es ist leider nicht so einfach Lücken zu finden. Wenn du es allerdings besser kannst...

Kommentieren



Anzeige

  1. Engineer (m/w) Signal Processing
    Bosch Sensortec GmbH, Reutlingen
  2. Customer Project Manager/in
    Robert Bosch GmbH, Plochingen
  3. Quality- & Service-Manager/in SAP-Entwicklung
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Spezialist (m/w) Technischer Support
    PTV Planung Transport Verkehr AG, Karlsruhe

 

Detailsuche


Hardware-Angebote
  1. Alle PCGH-PCs inkl. The Witcher 3
  2. TOPSELLER BEI ALTERNATE: G.Skill DIMM 8 GB DDR3-1600 Kit
    59,90€
  3. VORBESTELL-AKTION: Microsoft Lumia 640 vorbestellen und 32GB-Speicherkarte gratis dazu erhalten
    (159,00€/179,00€/219,00€ 3G/LTE/XL)

 

Weitere Angebote


Folgen Sie uns
       


  1. Mini-PCs unter Linux

    Installation schwer gemacht

  2. Game Development

    Golem.de lädt zum Tech Summit ein

  3. Khronos Group

    Grafik-API Vulkan erscheint für die Playstation 4

  4. Mobilfunk

    Gericht untersagt verändertes SIM-Karten-Pfand

  5. League of Legends & Co

    Moba-Spieler investieren 24,92 US-Dollar in ihr Aussehen

  6. Stellenanzeige

    Golem.de sucht Redakteur/-in für IT-Sicherheit

  7. Studie

    Spracherkennungs-Apps am Steuer erhöhen die Unfallgefahr

  8. Minister

    Keine Förderung mehr unter 50 MBit/s

  9. Onion Omega

    Preiswertes Bastelboard für OpenWrt

  10. Noki

    Intelligentes Türschloss ohne Umbauten installierbar



Haben wir etwas übersehen?

E-Mail an news@golem.de



Fire TV mit neuer Firmware im Test: Streaming-Box wird vielfältiger
Fire TV mit neuer Firmware im Test
Streaming-Box wird vielfältiger
  1. Update Amazon wertet Fire TV auf
  2. Workshop Kodi bequemer auf Amazons Fire TV verwenden
  3. Streaming-App Allcast für iOS ist fertig

Galaxy S6 im Test: Lebe wohl, Kunststoff!
Galaxy S6 im Test
Lebe wohl, Kunststoff!
  1. Galaxy S6 Active Samsungs wasserdichtes Topsmartphone
  2. Galaxy S6 und S6 Edge im Hands on Rund, schnell, teuer
  3. Galaxy S6 und Edge-Variante Samsungs neue Top-Smartphones im Glaskleid

Banana Pi M2 angesehen: Noch kein Raspberry-Pi-Killer
Banana Pi M2 angesehen
Noch kein Raspberry-Pi-Killer
  1. Die Woche im Video Galaxy S6 gegen One (M9), selbstbremsende Autos und Bastelei
  2. Raspberry Pi 2 ausprobiert Schnell rechnen, langsam speichern

  1. Re: schwache Verschlüsselung

    Hotohori | 12:32

  2. Re: Zunehmende Fragmentierung auf dem API Markt?

    patrik.stutz | 12:31

  3. Re: akku

    Checki | 12:30

  4. Re: JavaScript abschalten?

    FreiGeistler | 12:28

  5. Re: Durchschnittsalter 25?

    OliWan | 12:27


  1. 12:00

  2. 11:53

  3. 10:41

  4. 10:35

  5. 10:21

  6. 10:05

  7. 09:15

  8. 09:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel