Sicherheit: Kritische Sicherheitslücke in Ruby on Rails
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Anzeige

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)

Kommentieren



Anzeige

  1. Projektingenieur (m/w) Prozessleitsysteme, Schwerpunkt SCADA
    Hydro Aluminium Rolled Products GmbH, Neuss
  2. Senior Quality Engineer Issuing (m/w) (Bereich Card Issuing)
    Wirecard Technologies GmbH, Aschheim bei München
  3. IT Risk Officer/IT Risiko Spezialist (m/w) für Operatives Risiko Management
    Vattenfall Europe Business Services GmbH, Hamburg, Berlin, Amsterdam (Niederlande)
  4. Software Engineer (m/w) - Software System Development
    Siemens AG, Erlangen

 

Detailsuche


Folgen Sie uns
       


  1. Shooter-Projekt Areal

    Putin-Brief und abrutes Ende der Kickstarter-Kampagne

  2. Bluetooth Low Energy und Websockets

    Raspberry Pi als Schaltzentrale fürs Haus

  3. Flir One

    Wärmebildkamera fürs iPhone lieferbar

  4. K.-o.-Tropfen

    Digitaler Schutz vor Roofies

  5. Paketverfolgung live

    Paketdienst DPD will auf 30 Minuten genau liefern

  6. Internetzugang

    Chinesen nutzen mehr Smartphones als PCs

  7. Quartalsbericht

    Apple mit Gewinnzuwachs, iPad-Verkauf erneut rückläufig

  8. Quartalsbericht

    Microsoft macht 700 Millionen US-Dollar Verlust mit Nokia

  9. Mayday

    Kindle-Besitzer können auf Knopfdruck Hilfe rufen

  10. Lufthansa Taxibot

    Piloten schleppen ihre Flugzeuge bald selbst zur Startbahn



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony RX100 Mark III im Test: Klein, super, teuer
Sony RX100 Mark III im Test
Klein, super, teuer
  1. Custom ROM Sonys Bootloader einfacher zu entsperren
  2. Sony Xperia T3 kommt als Xperia Style für 350 Euro
  3. Auge als Vorbild Sony entwickelt gekrümmte Kamerasensoren

Türen geöffnet: Studenten "hacken" Tesla Model S
Türen geöffnet
Studenten "hacken" Tesla Model S
  1. Model III Tesla kündigt günstigeres Elektroauto an
  2. IMHO Kampfansage an das Patentsystem
  3. Elektroautos Tesla gibt seine Patente zur Nutzung durch andere frei

Programmcode: Ist das Kunst?
Programmcode
Ist das Kunst?
  1. Suchmaschinen Deutsche IT-Branche hofft auf Ende von Googles Vorherrschaft
  2. Quartalsbericht Google steigert Umsatz um 22 Prozent
  3. Project Zero Google baut Internet-Sicherheitsteam auf

    •  / 
    Zum Artikel