Original-URL des Artikels: http://www.golem.de/news/ruby-on-rails-aktualisierungen-schliessen-kritische-sicherheitsluecken-1302-97532.html    Veröffentlicht: 12.02.2013 12:19

Ruby on Rails

Aktualisierungen schließen kritische Sicherheitslücken

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.  (jt)


Verwandte Artikel:
Sicherheit: Kritische Sicherheitslücke in Ruby on Rails   
(09.01.2013 12:04, http://www.golem.de/news/sicherheit-kritische-sicherheitsluecke-in-ruby-1301-96801.html)
Vert.x: Polyglottes Webframework in Version 1.0 erschienen   
(11.05.2012 09:55, http://www.golem.de/news/vert-x-polyglottes-webframework-in-version-1-0-erschienen-1205-91725.html)
Linux-Distribution: Untangle 9.1 mit JSON-Konfigurationsdateien   
(14.12.2011 11:59, http://www.golem.de/1112/88420.html)
Instra: Megas wichtigster Partner gehackt   
(30.01.2013 11:33, http://www.golem.de/news/instra-megas-wichtigster-partner-gehackt-1301-97253.html)
Project White Fox: Kollektiv Ghostshell veröffentlicht Daten von US-Behörden   
(11.12.2012 16:14, http://www.golem.de/news/project-white-fox-kollektiv-ghostshell-veroeffentlicht-daten-von-us-behoerden-1212-96285.html)

© 2014 by Golem.de