In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Anzeige

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)

Kommentieren



Anzeige

  1. Java-Entwickler (m/w)
    Avision GmbH, Oberhaching bei München
  2. Softwareentwickler / Softwareentwicklerin für den Bereich Datenmanagement
    BBF GmbH, München und Dresden
  3. IT-Mitarbeiter (m/w)
    SRH Dienstleistungen GmbH, Oberndorf a. N.
  4. Full-Stack Entwickler (m/w)
    Scandio GmbH, München

 

Detailsuche


Top-Angebote
  1. Transcend 1.000-GB-SSD
    329,99€
  2. Assassins Creed Unity PC Download
    29,97€
  3. NEU: X-Men Zukunft ist Vergangenheit [Blu-ray]
    12,90€

 

Weitere Angebote


Folgen Sie uns
       


  1. Datenschutzreform

    Gewerkschaft warnt vor PC-Durchsuchungen am Arbeitsplatz

  2. Testplattform für Grafikkarten

    Des Golems Zauberwürfel

  3. Charles Townes

    Laser-Erfinder mit 99 Jahren gestorben

  4. Flash wird ersetzt

    Youtube macht HTML5 zum Standard

  5. Vodafone

    Marke Kabel Deutschland verschwindet in Kürze

  6. Flugsicherheit

    Obama will nach Drohnenabsturz strengere Regeln

  7. Bundesverkehrsminister

    Autonome Autos sollen in zehn Jahren normal sein

  8. Electronic Arts

    Dragon Age Inquisition ist ein Verkaufserfolg für Bioware

  9. Bootchess

    487 Byte für ein vollwertiges Schachprogramm

  10. Blackphone

    Schwerwiegender Fehler in der Messaging-App Silenttext



Haben wir etwas übersehen?

E-Mail an news@golem.de



Sentry Eye Tracker ausprobiert: Nur Anfänger starren auf die Mini-Map
Sentry Eye Tracker ausprobiert
Nur Anfänger starren auf die Mini-Map
  1. Mad Catz Mobiler Alleskönner-Controller Lynx 9 vorgestellt
  2. Smartpen Livescribe 3 lernt Android
  3. Eingabegerät Apple erhält Patent für funkenden Stift

Präsenz ist die neue Immersion: Die Zukunft von Virtual und Augmented Reality
Präsenz ist die neue Immersion
Die Zukunft von Virtual und Augmented Reality
  1. WebVR Oculus-Support im Firefox Nightly
  2. Virtual Reality Facebook sucht Oculus-Experten
  3. Magic-Leap-Patente AR-Brille lässt Herzen in OP-Sälen schweben

The Witcher 3 angespielt: Geralt und die "Mission Bratpfanne"
The Witcher 3 angespielt
Geralt und die "Mission Bratpfanne"
  1. CD Projekt The Witcher 3 hätte gerne eine 350-Euro-Grafikkarte
  2. Vorschau 2015 Von Hexern, Fledermausmännern und VR-Brillen
  3. The Witcher 3 Geralt von Riva hext erst im Mai 2015

    •  / 
    Zum Artikel