Ruby on Rails: Aktualisierungen schließen kritische Sicherheitslücken

Mit Updates für einige Versionen von Ruby on Rails haben Entwickler zwei kritische Sicherheitslücken geschlossen. Gleichzeitig gibt es ein Update für das Json-Gem, das ebenfalls einen gravierenden Fehler korrigiert.

Artikel veröffentlicht am ,
In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Das Ruby-on-Rails-Team hat die Updates 3.2.12, 3.1.11 und 2.3.17 veröffentlicht, die zwei kritische Sicherheitslücken in dem Webapplikationsframework schließen. In allen Versionen wird damit ein Fehler in der Methode attr_protected in Active Record behoben.

Stellenmarkt
  1. Senior Management Consultant Unternehmensstrategie - Schwerpunkt Inhouse Consulting (m/w/d)
    Atruvia AG, Münster
  2. IT-Systemelektroniker / Elektrotechniker / Fachinformatiker für Systemintegration als Netzwerktechniker ... (m/w/d)
    Max-Planck-Institut für Biochemie, Martinsried bei München
Detailsuche

Die Sicherheitslücke wird unter der CVE-Nummer 2013-0276 geführt. Das Modul Active Record wird genutzt, um in Datenbanken zu schreiben. Über einen Fehler in der Methode attr-protected können sich Angreifer Zugriff auf die Sperrliste der Modulattribute verschaffen und dort beliebige Werte verändern. Anwendungen, die stattdessen die Methode attr_accessible nutzen, sind nicht betroffen.

Der zweite Fehler, der unter der CVE-Nummer 2013-0277 geführt wird, entsteht aus der kombinierten Nutzung von Active Record und Yaml. Entwickler können über die Active-Record-Methode Objekte sequenziell in einem Blob (Binary Large Object) in einer Datenbank speichern. Für deren Serialisierung wird Yaml verwendet. Über eine manipulierte Anfrage können Angreifer beliebigen Yaml-Code deserialisieren, also einen Datenstrom in ein Objekt verwandeln. Der Fehler ist mit dem Update 2.3.17 behoben. Ein Update für Ruby on Rails 3.0 wird es nicht geben.

Fehlerhaftes Json-Gem

Außerdem wurde das Json-Gem (CVE 2013-0269) aktualisiert. In der vorherigen Version konnten über das Json-Paket beliebige Ruby-Symbole generiert werden, die für einen DoS-Angriff genutzt werden konnten. Zudem konnten manipulierte Json-Dokumente dazu genutzt werden, um durch Ruby-on-Rails SQL-Einschleusung durchzuführen. Thomas Hollstegge beschreibt die Sicherheitslücke ausführlich in seinem Blog.

Golem Karrierewelt
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    20.-22.07.2022, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
Weitere IT-Trainings

Die Updates sind auf der Webseite des Projekts verfügbar. Anwendern wird dringend geraten, sie zu installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Lennart Poettering
Systemd-Gründer wechselt offenbar zu Microsoft

Der einflussreiche Entwickler Lennart Poettering hat offenbar den Linux-Distributor Red Hat verlassen und wechselt zur Konkurrenz.

Lennart Poettering: Systemd-Gründer wechselt offenbar zu Microsoft
Artikel
  1. Thinkpad E14 Gen4 im Test: Laptop mit tollem Preis-Leistungs-Verhältnis
    Thinkpad E14 Gen4 im Test
    Laptop mit tollem Preis-Leistungs-Verhältnis

    Top für 900 Euro: Das Thinkpad E14 Gen4 mit Alder Lake ist flott, aufrüstbar und tippt sich exzellent. Nur beim Display steht Lenovo auf der Stelle.
    Ein Test von Marc Sauter

  2. Hackerangriffe: FBI und MI5 warnen vor Spionage durch China
    Hackerangriffe
    FBI und MI5 warnen vor Spionage durch China

    Die Chefs von den Inlandsgeheimdiensten der USA und des Vereinigten Königreichs betonen in einer Ansprache die Bedrohung durch China, die sie beobachten würden.

  3. Zu geringer Abstand: Polizei sucht mit Drohne nach Verkehrssündern
    Zu geringer Abstand
    Polizei sucht mit Drohne nach Verkehrssündern

    Ein zu geringer Abstand auf der Autobahn ist eine häufige Unfallursache. In Brandenburg hat die Polizei Drängler mit einer Drohne gefilmt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Red Friday: Mega-Rabatt-Aktion bei Media Markt • LG OLED TV 77" 120 Hz günstig wie nie: 2.399€ • Amazon-Geräte günstiger • AMD Ryzen 5 günstig wie nie: 125€ • EVGA RTX 3090 günstig wie nie: 1.649€ • MindStar (MSI 31,5“ 165Hz 369€) • Der beste 2.000€-Gaming-PC [Werbung]
    •  /