Sicherheit Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Anzeige

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.

Kommentarübersicht
Re: Ruby bzw Ruby on Rails - What?!
developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Software Development Engineer (m/w) C++ Low Frequency Solver Technology
    CST AG – Computer Simulation Technology, Darmstadt
  2. Mobile Solutions Developer / Analyst (m/w)
    Continental AG, Hannover
  3. Help Desk Techniker / Help Desk Technikerin
    Scheidt & Bachmann System Service GmbH, Mönchengladbach
  4. Spezialist Software Acceptance Test (m/w)
    HARTING KGaA, Espelkamp

 

Detailsuche

Folgen Sie uns
       
Videos
FFR - Roboter für die Feuerwehr FFR - Roboter für die Feuerwehr
Ticker
  1. Load Impact

    Lasttests ganz einfach

  2. Butterfly S

    HTC verbessert sein erstes 5-Zoll-Smartphone

  3. Neue Rennspiele

    Forza 5, Drive Club und Gran Turismo 6 angespielt

  4. MySQL

    Man-Pages stehen nicht mehr unter der GPL

  5. Omni

    Spurts und Schleicheinlagen im Wohnzimmer

  6. Prism

    US-Spähprogramme sollen 50 Anschläge verhindert haben

  7. JDownloader2

    Downloadfunktion für Streaming in Deutschland verboten

  8. Canonical

    Telekom tritt Beratergruppe für Ubuntu Touch bei

  9. Pocket Tripod

    Drehbares iPhone-Stativ in Kreditkartengröße

  10. Thinkpad S531

    Neues Ultrabook mit Alugehäuse und langer Laufzeit

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Solarenergie
Sharp: Hocheffiziente Solarzelle mit 44 Prozent Wirkungsgrad
Sharp
Hocheffiziente Solarzelle mit 44 Prozent Wirkungsgrad

Sharp hat eine Solarzelle mit einem Wirkungsgrad von 44,4 Prozent entwickelt. Dafür wird eine dreischichtige Stapelsolarzelle mit einer Linse eingesetzt. Das Sonnenlicht wird auf die Zelle fokussiert.

  1. Solar Impulse Solarflugzeug fliegt nach Dallas
  2. Solar Impulse Solarflugzeug startet zur USA-Tour
  3. Sonnenenergie Spezielle Solaranlage liefert Strom und Wasser
Retrogaming
Computerspiele: Atari-Gründer warnt vor Onlinezwang
Computerspiele
Atari-Gründer warnt vor Onlinezwang

Der Atari-Gründer Nolan Bushnell warnt die Spielebranche: Sie tue nichts, um dafür zu sorgen, dass heutige Spiele auch in Zukunft verfügbar bleiben. Besonders der heute oft übliche Onlinezwang mache ihm Sorgen.

Denic
Verlängerung der Löschphase: Denic will Domain-Grabbing verhindern
Verlängerung der Löschphase
Denic will Domain-Grabbing verhindern

Die Denic will bei der Löschung von Domains eine Übergangsfrist einführen. Im Februar waren einige Firmendomains versehentlich gelöscht und zur Registrierung freigegeben worden.

  1. Domainrecht Schweizer Switch schaltet Domain wegen Malware ab
Forumsbeiträge »
  1. We are Watching You Widerstand gegen Kinect-Überwachung in den USA

    Re: und was ist mit iPhone, Laptop, Tablet und co?

    swissmess | 14:32

  2. Flugdrohne GPS für AR.Drone 2.0 ermöglicht autonome Flüge

    Re: 50 von den Dingern nach Area 51 bzw. S4 schicken!

    stonie | 14:31

  3. JDownloader2 Downloadfunktion für Streaming in Deutschland verboten

    Re: wirksame technische Maßnahme

    Trockenobst | 14:30

  4. JDownloader2 Downloadfunktion für Streaming in Deutschland verboten

    Re: Was ich ja nicht verstehe...

    Quantium40 | 14:30

  5. JDownloader2 Downloadfunktion für Streaming in Deutschland verboten

    Re: Waffenhersteller verklagen?

    Auric | 14:29

Ticker »
  1. Load Impact Lasttests ganz einfach

    14:23

  2. Butterfly S HTC verbessert sein erstes 5-Zoll-Smartphone

    13:56

  3. Neue Rennspiele Forza 5, Drive Club und Gran Turismo 6 angespielt

    13:44

  4. MySQL Man-Pages stehen nicht mehr unter der GPL

    13:37

  5. Omni Spurts und Schleicheinlagen im Wohnzimmer

    13:05

  6. Prism US-Spähprogramme sollen 50 Anschläge verhindert haben

    12:09

  7. JDownloader2 Downloadfunktion für Streaming in Deutschland verboten

    12:08

  8. Canonical Telekom tritt Beratergruppe für Ubuntu Touch bei

    12:04

Zum Artikel