In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Anzeige

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)

Kommentieren



Anzeige

  1. Software Entwickler Energie PHP / MySQL (m/w)
    CHECK24 Services GmbH, München
  2. Teamleiter / Senior System Analyst EDI (m/w)
    HAVI Logistics Business Services GmbH, Duisburg
  3. Softwareentwickler für mobile und Web-Applikationen (m/w)
    g/d/p Marktanalysen GmbH, Hamburg
  4. Technischer Projektleiter (m/w) Automotive
    Siemens AG, Erlangen

 

Detailsuche


Folgen Sie uns
       


  1. Streaming-Dienst

    Netflix-App für Amazons Fire TV ist da

  2. Pilot tot

    Spaceship Two stürzt in der Mojave-Wüste ab

  3. Bewegungsprofile

    Dobrindt wegen "Verkehrs-Vorratsdatenspeicherung" kritisiert

  4. Anonymisierung

    Facebook ist im Tor-Netzwerk erreichbar

  5. Spielekonsole

    Neuer 20-nm-Chip für sparsamere Xbox One ist fertig

  6. Günther Oettinger

    EU-Digitalkommissar will Urheberrechtssteuer für alle

  7. Ruhemodus

    Noch ein Bug in Firmware 2.0 der Playstation 4

  8. VDSL2-Nachfolgestandard

    Telekom-Konkurrenten starten G.fast-Praxistest

  9. Ego-Shooter

    Bethesda hat Prey 2 eingestellt

  10. Keine Bußgelder

    Sicherheitslücken bleiben ohne Strafen



Haben wir etwas übersehen?

E-Mail an news@golem.de



iPad Air 2 im Test: Toll, aber kein Muss
iPad Air 2 im Test
Toll, aber kein Muss
  1. Tablet Apple verdient am iPad Air 2 weniger als am Vorgänger
  2. iFixit iPad Air 2 - wehe, wenn es kaputtgeht
  3. iPad Air 2 Benchmark Apples A8X überrascht mit drei Prozessor-Kernen

Test Civilization Beyond Earth: Die Zukunftsrunde mit der Schuldenfalle
Test Civilization Beyond Earth
Die Zukunftsrunde mit der Schuldenfalle
  1. Civ Beyond Earth Benchmark Schneller, ohne Mikroruckler und geringere Latenz mit Mantle
  2. Take 2 34 Millionen GTA 5 ausgeliefert

Aquabook 3: Das wassergekühlte Gaming-Notebook
Aquabook 3
Das wassergekühlte Gaming-Notebook
  1. Nepton 120XL und 240M Cooler Master macht Wasserkühlungen leiser
  2. DCMM 2014 Wenn PC-Gehäuse zu Kunstwerken werden

    •  / 
    Zum Artikel