In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Anzeige

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)

Kommentieren



Anzeige

  1. IT-Projektmanager/-in Systemgestaltung im Arbeitsgebiet Business Intelligence
    Daimler AG, Sindelfingen
  2. Testingenieur (m/w)
    MBtech Group GmbH & Co. KGaA, Neutraubling, Regensburg
  3. PreMaster (m/w) im Bereich Applikation
    Robert Bosch GmbH, Schwieberdingen
  4. BI Software Engineer (m/w)
    Wacker Chemie AG, München

 

Detailsuche


Spiele-Angebote
  1. VORBESTELLBAR: Assassin's Creed Syndicate
    ab 59,95€ (Vorbesteller-Preisgarantie)
  2. VORBESTELLAKTION: Tom Clancy's Rainbow Six Siege
    ab 59,95€ (Vorbesteller-Preisgarantie) - Vorbesteller erhalten Beta-Zugang - Release 13.10.
  3. VORBESTELLAKTION: Star Wars Battlefront (PC/PS4/Xbox One)
    ab 59,99€ (Vorbesteller-Preisgarantie) - Release 19.11.

 

Weitere Angebote


Folgen Sie uns
       


  1. Crowdfunding

    Jugend programmiert auf Kickstarter

  2. App Home

    Apple soll mit iOS 9 voll auf Heimautomation setzen

  3. Apple Watch

    Pulsmesser funktioniert nach Update nicht mehr korrekt

  4. HUK-Coburg

    Autoversicherung will Fahrverhalten bei Tarifen berücksichtigen

  5. Unsensible Verschlagwortung

    Flickr sorgt mit Automatik-Tags für Aufregung

  6. BND-Chef Schindler

    "Wir sind abhängig von der NSA"

  7. Electronic Arts

    Neustart für Need for Speed

  8. Spionage

    NSA wollte Android-App-Stores für Ausspähungen nutzen

  9. Massive Ausfälle

    Apples iCloud verdunkelt sich

  10. Large Hadron Collider

    Sie kollidieren wieder - fast mit voller Wucht



Haben wir etwas übersehen?

E-Mail an news@golem.de



BND-Selektorenaffäre: Die stille Löschaktion des W. O.
BND-Selektorenaffäre
Die stille Löschaktion des W. O.
  1. NSA Streit um Selektoren-Liste zwischen Gabriel und Steinmeier
  2. Überwachung Kongress will NSA-Bespitzelung in den USA einschränken
  3. BND-Affäre Wikileaks veröffentlicht Protokolle des NSA-Ausschusses

SSD HyperX Predator im Test: Kingstons Mischung ist gelungen
SSD HyperX Predator im Test
Kingstons Mischung ist gelungen
  1. Z-Drive 6300 Neue SSD bietet bis zu 6,4 TByte Speicherplatz
  2. Crucial BX100 und MX200 im Test Mehr SSD pro Euro gibt's derzeit nicht
  3. Plextor M6e Black Edition im Kurztest Auch eine günstige SSD kann teuer erkauft sein

Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

  1. Re: FFW angehöhrige werden bestraft

    Prinzeumel | 10:28

  2. Re: Bevor der Shitstorm losgeht ...

    raiden089 | 10:28

  3. keine (großen) Probleme mit ATI hier

    Katsuragi | 10:27

  4. Re: Guter Plan

    SceniX | 10:27

  5. Re: Und Abhängige...

    cypeak | 10:27


  1. 10:28

  2. 09:54

  3. 09:15

  4. 09:01

  5. 08:50

  6. 20:18

  7. 18:39

  8. 17:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel