In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Anzeige

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)

Kommentieren



Anzeige

  1. Softwareentwickler (m/w)
    MAHA Maschinenbau Haldenwang GmbH & Co. KG, Haldenwang
  2. Junior Consultant (m/w) - Business Intelligence im Herzen der Automobilindustrie
    T-Systems on site services GmbH, Wolfsburg
  3. Objektleitung (m/w) für den IT-Service
    SRH Dienstleistungen GmbH, Neckargemünd
  4. Fachreferent (m/w) HGÜ-Technik und Datenmanagement
    TenneT TSO GmbH, Bayreuth

 

Detailsuche


Top-Angebote
  1. VORBESTELL-BESTSELLER: Star Wars Battlefront (PC/PS4/Xbox One)
    ab 59,99€ (Vorbesteller-Preisgarantie)
  2. TIPP: Blu-ray-Boxsets zum Aktionspreis
    (u. a. Transformers Trilogie 13,97€, Der Pate 28,97€, Star Trek Collection 59,97€, Die nackte...
  3. TIPP: Oster-Schnäppchen auf Blu-ray
    (u. a. Edge of Tomorrow 7,97€, Godzilla 7,97€, Casino 5,99€, Ghostbusters 1+2 für 9,97€)

 

Weitere Angebote


Folgen Sie uns
       


  1. Gigaset

    Ex-Siemens-Sparte bringt eigene Smartphones heraus

  2. Legacy of the Void

    Starcraft 2 geht in die Beta

  3. Streaming

    Fernbedienungen bekommen Netflix-Taste

  4. DNS/AXFR

    Nameserver verraten Geheim-URLs

  5. Lizenzklage

    "VMware wollte sich nicht an die GPL halten"

  6. Kabelnetzbetreiber

    Routerwahl soll zu Bruch des Fernmeldegeheimnisses führen

  7. Ineffiziente Leuchtmittel

    Erweitertes Lampenverbot tritt in Kraft

  8. Mini-PCs unter Linux

    Installation schwer gemacht

  9. Game Development

    Golem.de lädt zum Tech Summit ein

  10. Khronos Group

    Grafik-API Vulkan erscheint für die Playstation 4



Haben wir etwas übersehen?

E-Mail an news@golem.de



HTC One (M9) im Test: Endlich eine gute Kamera
HTC One (M9) im Test
Endlich eine gute Kamera
  1. Lollipop Erstes HTC-One-Smartphone erhält kein Android 5.1

Mini-Business-Rechner im Test: Erweiterbar, sparsam und trotzdem schön klein
Mini-Business-Rechner im Test
Erweiterbar, sparsam und trotzdem schön klein
  1. Shuttle DS57U Passiver Mini-PC mit Broadwell und zwei seriellen Com-Ports
  2. Broadwell-Mini-PC Gigabytes Brix ist noch kompakter als Intels NUC
  3. Mouse Box Ein Mini-PC in der Maus

Jugendliche und soziale Netzwerke: Geh sterben, Facebook!
Jugendliche und soziale Netzwerke
Geh sterben, Facebook!
  1. Nuclide Facebook stellt quelloffene IDE vor
  2. 360-Grad-Videos und neuer Messenger Facebook zeigt seinen Nutzern Rundumvideos
  3. Urheberrecht Bild-Fotograf zieht Abmahnung zum Facebook-Button zurück

  1. Re: Typisch bei der Firmenpolitik

    grorg | 02:01

  2. Re: Alles kompletter Bullshit

    1ras | 02:00

  3. Re: Gerade der Router/Modem von Unitymedia ist...

    spiderbit | 01:57

  4. Re: Kann das noch ein Aprilscherz sein? :D

    bh9k | 01:31

  5. Re: Gekauft, getestet, für mittelmäßig befunden

    Psykhe | 01:26


  1. 19:04

  2. 17:03

  3. 16:09

  4. 15:47

  5. 15:02

  6. 13:23

  7. 13:13

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel