Abo
  • Services:
Anzeige
In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ruby on Rails: Aktualisierungen schließen kritische Sicherheitslücken

In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Anzeige

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.


eye home zur Startseite
Lala Satalin... 12. Feb 2013

Es ist leider nicht so einfach Lücken zu finden. Wenn du es allerdings besser kannst...



Anzeige

Stellenmarkt
  1. BWI GmbH, Bonn oder München
  2. BVG Berliner Verkehrsbetriebe, Berlin
  3. Pyrexx GmbH, Berlin
  4. ckc ag, Region Braunschweig/Wolfsburg


Anzeige
Top-Angebote
  1. 42€
  2. 599€ + 5,99€ Versand (Bestpreis!)
  3. 13,99€

Folgen Sie uns
       


  1. Die Woche im Video

    Das muss doch einfach schneller gehen!

  2. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  3. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  4. Games

    US-Spielemarkt wächst 2017 zweistellig

  5. Boeing und SpaceX

    ISS bald ohne US-Astronauten?

  6. E-Mail-Konto

    90 Prozent der Gmail-Nutzer nutzen keinen zweiten Faktor

  7. USK

    Nintendo Labo landet fast im Altpapier

  8. ARM-SoC-Hersteller

    Qualcomm darf NXP übernehmen

  9. Windows-API-Nachbau

    Wine 3.0 bringt Direct3D 11 und eine Android-App

  10. Echtzeit-Strategie

    Definitive Edition von Age of Empires hat neuen Termin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

  1. Re: Und trotzdem irgendwie (fast) nur noch Schrott...

    Dennis | 12:04

  2. Re: Anstatt Eisen zu Gold machen sie Pappe zu Gold.

    SanderK | 12:03

  3. Re: Head of Problem !!

    matzems | 11:57

  4. Re: ist ja ein Lacher gegen die illegalen IPTV...

    SanderK | 11:56

  5. Re: Ich tippe auf mehr als 400 MHz

    David64Bit | 11:53


  1. 09:02

  2. 18:53

  3. 17:28

  4. 16:59

  5. 16:21

  6. 16:02

  7. 15:29

  8. 14:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel