In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Anzeige

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)

Kommentieren



Anzeige

  1. Mitarbeiter für die technische Service-Hotline (m/w)
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Stuttgart
  2. Projekt-Ingenieur (m/w) Security Sicherheitssysteme
    Flughafen München GmbH, München
  3. Produktmanager (m/w) Netzwerksicherheit
    ROHDE & SCHWARZ SIT GmbH, Berlin
  4. PHP Web Developer (m/w)
    transact Elektronische Zahlungssysteme GmbH - epay, Martinsried near Munich

 

Detailsuche


Blu-ray-Angebote
  1. VORBESTELLBAR: Terminator 2 - Limited Steel Edition [Blu-ray]
    21,53€ (Vorbesteller-Preisgarantie) - Release 02.07.
  2. Die Hobbit Trilogie (3 Steelbooks + Bilbo's Journal) [Blu-ray] [Limited Edition]
    46,00€ - Release 23.04.
  3. Fast & Furious 7 [Blu-ray]
    21,99€ mit Vorbesteller-Preisgarantie

 

Weitere Angebote


Folgen Sie uns
       


  1. Andrea Voßhoff

    Bundesdatenschützerin nennt Vorratsdaten grundrechtswidrig

  2. Release-Datum

    Windows 10 erscheint laut AMD Ende Juli

  3. Update

    Android Wear bekommt WLAN-Unterstützung und App-Übersicht

  4. Big Data in Unternehmen

    Wenn die Firma vor Ihnen weiß, wann Sie kündigen

  5. Biicode

    Abhängigkeitsverwaltung für C/C++ ist Open Source

  6. Elektroautos

    Google wollte Tesla für 6 Milliarden US-Dollar kaufen

  7. Blizzard

    Heroes of the Storm bricht im Juni 2015 los

  8. Ursache unklar

    IT bei Bundesagentur für Arbeit komplett ausgefallen

  9. MS Open Tech

    Microsoft integriert Open-Source-Tochterunternehmen

  10. Nach Microsoft-Deal

    Nokia plant für 2016 neue Smartphones



Haben wir etwas übersehen?

E-Mail an news@golem.de



Vorratsdatenspeicherung: Das erste Placebo mit Nebenwirkungen
Vorratsdatenspeicherung
Das erste Placebo mit Nebenwirkungen
  1. Überwachung Telekom begrüßt Speicherdauer der Vorratsdatenspeicherung
  2. Vorratsdatenspeicherung Regierung will Verkehrsdaten zehn Wochen lang speichern
  3. Asyl für Snowden Bundesregierung bestreitet Drohungen der USA

Vindskip: Das Schiff der Zukunft segelt hart am Wind
Vindskip
Das Schiff der Zukunft segelt hart am Wind
  1. Volvo Lifepaint Reflektorfarbe aus der Dose schützt Radfahrer
  2. Munin Moderne Geisterschiffe brauchen keinen Steuermann
  3. Globales Transportnetz China will längsten Tunnel am Meeresgrund bauen

Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Hummingboard angetestet Heiß und anschlussfreudig
  2. Onion Omega Preiswertes Bastelboard für OpenWrt
  3. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster

  1. Re: warum nicht Android ?

    KojiroAK | 03:04

  2. Re: Bei der Art, wie man dort Ausschreibungen...

    User_x | 02:52

  3. Re: Das bedeutet, in einem Jahr konkuriert Nokia...

    KojiroAK | 02:47

  4. Re: Naja, eventuell gibt's jetzt ein paar freie...

    User_x | 02:46

  5. Re: Man könnte es kaufen ...

    throgh | 02:40


  1. 18:12

  2. 17:41

  3. 17:31

  4. 17:23

  5. 16:57

  6. 16:46

  7. 16:20

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel