Abo
  • Services:

Ruby on Rails: Aktualisierungen schließen kritische Sicherheitslücken

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Artikel veröffentlicht am ,
In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.



Anzeige
Top-Angebote
  1. (u. a. Logitech G910 + G402 für 99€ und ASUS Dual Radeon RX 580 OC + SanDisk SSD Plus 240 GB...
  2. (aktuell u. a. Corsair CX750 für 64,90€ + Versand)
  3. 9,99€ (mtl., monatlich kündbar)
  4. 229,99€

Lala Satalin... 12. Feb 2013

Es ist leider nicht so einfach Lücken zu finden. Wenn du es allerdings besser kannst...


Folgen Sie uns
       


Samsung Galaxy S10 Plus - Test

Das Galaxy S10+ ist Samsungs neues, großes Top-Smartphone. Im Test haben wir uns besonders die neue Dreifachkamera angeschaut.

Samsung Galaxy S10 Plus - Test Video aufrufen
Echo Wall Clock im Test: Ach du liebe Zeit, Amazon!
Echo Wall Clock im Test
Ach du liebe Zeit, Amazon!

Die Echo Wall Clock hat fast keine Funktionen und die funktionieren auch noch schlecht: Amazons Wanduhr ist schon vielen US-Nutzern auf den Zeiger gegangen - im Test auch uns.
Ein Test von Ingo Pakalski

  1. Amazon Echo Link und Echo Link Amp kommen mit Beschränkungen
  2. Echo Wall Clock Amazon verkauft die Alexa-Wanduhr wieder
  3. Echo Wall Clock Amazon stoppt Verkauf der Alexa-Wanduhr wegen Technikfehler

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


      •  /