In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Anzeige

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)

Kommentieren



Anzeige

  1. PHP-Entwickler (m/w)
    arboro GmbH, Schwaigern bei Heilbronn
  2. Informatiker / Application-Manager EAI/BI (m/w)
    TransnetBW GmbH, Wendlingen bei Stuttgart
  3. Software-Projektleiter/in Connected Gateway
    Robert Bosch GmbH, Leonberg
  4. IT-Administrator und IT-Supporter (m/w)
    AOK-Bundesverband, Berlin

 

Detailsuche


Top-Angebote
  1. NUR HEUTE: Sony Playstation 4 / PS4 - 1TB Ultimate Player Edition (schwarz)
    349,00€ inkl. Versand
  2. NEU: Der Hobbit: Eine unerwartete Reise - Extended Edition (Steelbook) - (Blu-ray)
    9,99€ inkl. Versand
  3. TIPP: LittleBigPlanet 3 - PlayStation 4
    19,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. Galaxy J5

    Samsungs Moto-G-Konkurrent kommt für 220 Euro

  2. Galliumnitrid

    Bisher kleinstes Notebook-Netzteil entwickelt

  3. Luftschiff

    Zeppeline für die Zukunft

  4. Kritik an Bundesanwaltschaft

    "Ermittlungsverfahren ist eine Blamage für den Rechtsstaat"

  5. Windows 10

    Mozilla missfällt neue Festlegung des Standard-Browsers

  6. Kim Dotcom

    "Daten auf Mega sind nicht mehr sicher"

  7. Latitude 12 Rugged Tablet

    Dells erstes Outdoor-Tablet braucht einen zweiten Akku

  8. Bundestags-Hack

    Reparatur des Bundestagsnetzes soll vier Tage dauern

  9. Zombi

    Untoter Abstecher nach London

  10. Sysadmin Day

    Mögest du in interessanten Zeiten leben



Haben wir etwas übersehen?

E-Mail an news@golem.de



Neue WLAN-Router-Generation: Hohe Bandbreiten mit zweifelhaftem Nutzen
Neue WLAN-Router-Generation
Hohe Bandbreiten mit zweifelhaftem Nutzen
  1. EA8500 Linksys' MU-MIMO-Router kostet 300 Euro
  2. Aruba Networks 802.11ac-Access-Points mit integrierten Bluetooth Beacons
  3. 802.11ac Wave 2 Neue Chipsätze für die zweite Welle von ac-WLAN

Simulus QR-X350.PRO im Test: Der Quadcopter, der vom Himmel fiel
Simulus QR-X350.PRO im Test
Der Quadcopter, der vom Himmel fiel
  1. Flugverkehrskontrolle Amazon will Drohnenverkehr regeln
  2. Paketzustellung Google will Flugverkehrskontrolle für Drohnen entwickeln
  3. Luftzwischenfall Beinahekollision zwischen Lufthansa-Flugzeug und Drohne

OCZ Trion 100 im Test: Macht sie günstiger!
OCZ Trion 100 im Test
Macht sie günstiger!
  1. PM863 Samsung packt knapp 4 TByte in ein flaches Gehäuse
  2. 850 Evo und Pro Samsung veröffentlicht erste Consumer-SSDs mit 2 TByte
  3. TLC-Flash Samsung plant SSDs mit 2 und 4 TByte

  1. Re: Hat jemand Tips zu Alternativen?

    Ultronkalaver | 13:22

  2. Re: sysadmin synonyme

    Anonymouse | 13:21

  3. Re: Ich liebe es.

    Sharkuu | 13:19

  4. Re: Iron Sky!

    eskimo | 13:19

  5. Re: Mal wieder vollmundige Versprechen

    luarix | 13:19


  1. 13:14

  2. 13:07

  3. 12:03

  4. 11:42

  5. 11:38

  6. 11:15

  7. 10:47

  8. 10:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel