Abo
  • Services:
Anzeige
In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit: Kritische Sicherheitslücke in Ruby on Rails

In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Anzeige

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


eye home zur Startseite
developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Robert Bosch Car Multimedia GmbH, Hildesheim
  3. Landeshauptstadt München, München
  4. über Robert Half Technology, München


Anzeige
Blu-ray-Angebote
  1. 5,49€
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 149,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. SSD

    Crucial erweitert MX300-Serie um 275, 525 und 1.050 GByte

  2. Shroud of the Avatar

    Neustart der Ultima-ähnlichen Fantasywelt

  3. Spielekonsole

    In Nintendos NX stecken Nvidias Tegra und Cartridges

  4. Nach Terroranschlägen

    Bayern fordert Ausweitung der Vorratsdatenspeicherung

  5. Android-Smartphone

    Update soll Software-Probleme beim Oneplus Three beseitigen

  6. Tim Sweeney

    "Microsoft will Steam zerstören"

  7. Störerhaftung weg

    Kommt nun der Boom für offene WLANs?

  8. Fusion mit Hailo

    Mytaxi wird zum größten App-basierten Taxivermittler Europas

  9. AG600

    China baut größtes Wasserflugzeug der Welt

  10. Telltale Games

    2.000 Batman-Spieler treffen die Entscheidungen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Schrott im Netz: Wie Social Bots das Internet gefährden
Schrott im Netz
Wie Social Bots das Internet gefährden
  1. Netzwerk Wie Ausrüster Google Fiber und Facebooks Netzwerk sehen
  2. Secret Communications Facebook-Messenger bald mit Ende-zu-Ende-Verschlüsselung
  3. Social Media Ein Netzwerk wie ein Glücksspielautomat

Dirror angeschaut: Der digitale Spiegel, der ein Tablet ist
Dirror angeschaut
Der digitale Spiegel, der ein Tablet ist
  1. Bluetooth 5 Funktechnik sendet mehr Daten auch ohne Verbindungsaufbau
  2. Smarter Schalter Wenn Github mit dem Lichtschalter klingelt
  3. Tony Fadell Nest-Gründer macht keine Omeletts mehr

Miniscooter: E-Floater, der Elektroroller für die letzte Meile
Miniscooter
E-Floater, der Elektroroller für die letzte Meile
  1. Relativity Space Raketenbau ohne Menschen
  2. Besuch beim HAX Accelerator Made in Shenzhen
  3. Besuch bei Senic Das Kreuzberger Shenzhen

  1. Re: In spätestens 0 Sek ist jeder von Deinem...

    HiddenX | 19:55

  2. Aber sicher doch

    /mecki78 | 19:50

  3. Re: Selbst schuld

    Emulex | 19:47

  4. Re: Nintendo GO

    Spiritogre | 19:46

  5. Re: Wäre der Täter abgeschoben worden (Asylantrag...

    Mingfu | 19:46


  1. 18:13

  2. 18:06

  3. 17:37

  4. 16:54

  5. 16:28

  6. 15:52

  7. 15:37

  8. 15:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel