Abo
  • Services:
Anzeige
In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit: Kritische Sicherheitslücke in Ruby on Rails

In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Anzeige

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


eye home zur Startseite
developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)



Anzeige

Stellenmarkt
  1. LuK GmbH & Co. KG, Bühl
  2. CCV Deutschland GmbH, Au i.d. Hallertau
  3. Basler AG, Ahrensburg bei Hamburg
  4. Zühlke Engineering GmbH, München, Hannover, Eschborn


Anzeige
Spiele-Angebote
  1. (-33%) 9,99€
  2. (-11%) 39,99€
  3. (-50%) 7,50€

Folgen Sie uns
       


  1. 5G Radio Dot

    Ericsson kündigt 2-GBit/s-Indoor-Antennen an

  2. Zahlungsverkehr

    Das Bankkonto wird offener

  3. 20.000 neue Jobs

    Apple holt Auslandsmilliarden zurück und baut neuen Campus

  4. Auto-Entertainment

    Carplay im BMW nur als Abo zu bekommen

  5. Fehlende Infrastruktur

    Große Skepsis bei Elektroautos als Dienstwagen

  6. Tim Cook

    Apple macht die iPhone-Drosselung abschaltbar

  7. Nintendo Labo

    Switch plus Pappe

  8. Apple

    Messages-App kann mit Nachricht zum Absturz gebracht werden

  9. Analog

    Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung

  10. Partnerprogramm

    Geld verdienen auf Youtube wird schwieriger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Facebook Wieder mehr Haustierbilder statt Hass
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

  1. Re: IMHO: Der falsche Weg

    SJ | 09:19

  2. Ein Alexa Gesetz also?

    das_mav | 09:18

  3. Re: Das finde ich schon frech

    My1 | 09:17

  4. Re: Ups ...

    Flyns | 09:17

  5. Re: Hardware Revision

    Grover | 09:17


  1. 09:20

  2. 09:04

  3. 08:26

  4. 08:11

  5. 07:55

  6. 07:30

  7. 00:02

  8. 19:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel