Ruby on Rails: Aktualisierungen schließen kritische Sicherheitslücken
Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht(öffnet im neuen Fenster) , die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.
Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276(öffnet im neuen Fenster) geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.
Der zweite Fehler, der unter der CVE-Nummer 2013-0277(öffnet im neuen Fenster) geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.
Fehlerhaftes Json-Gem
Außerdem wurde das Json-Gem ( CVE 2013-0269(öffnet im neuen Fenster) ) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog(öffnet im neuen Fenster) .
Die Updates sind auf der Webseite des Projekts verfügbar(öffnet im neuen Fenster) . Anwendern wird dringend geraten, sie zu installieren.