Original-URL des Artikels: http://www.golem.de/news/ruby-on-rails-aktualisierungen-schliessen-kritische-sicherheitsluecken-1302-97532.html    Veröffentlicht: 12.02.2013 12:19    Kurz-URL: http://glm.io/97532

Ruby on Rails

Aktualisierungen schließen kritische Sicherheitslücken

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.  (jt)


Verwandte Artikel:
Sicherheit: Kritische Sicherheitslücke in Ruby on Rails   
(09.01.2013, http://glm.io/96801 )
Vert.x: Polyglottes Webframework in Version 1.0 erschienen   
(11.05.2012, http://glm.io/91725 )
Linux-Distribution: Untangle 9.1 mit JSON-Konfigurationsdateien   
(14.12.2011, http://glm.io/88420 )
Instra: Megas wichtigster Partner gehackt   
(30.01.2013, http://glm.io/97253 )
Project White Fox: Kollektiv Ghostshell veröffentlicht Daten von US-Behörden   
(11.12.2012, http://glm.io/96285 )

© 1997–2016 Golem.de, http://www.golem.de/