Abo
  • Services:
Anzeige
In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Sicherheit: Kritische Sicherheitslücke in Ruby on Rails

In Ruby on Rails befindet sich eine kritische Schwachstelle.
In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails)

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser. Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156 ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Anzeige

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm einen Angriff per SQL-Injection über Yaml.

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen. Alternativ können Administratoren vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.


eye home zur Startseite
developer 09. Jan 2013

Korrekt. Spiegel sind schon was doofes wenn sie einem vorgehalten werden. :-)



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. über Ratbacher GmbH, Raum Dresden
  3. Südwolle GmbH & Co. KG, Schwaig
  4. Ypsomed AG, Burgdorf (Schweiz)


Anzeige
Top-Angebote
  1. 39,99€
  2. 219,00€
  3. 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Denverton

    Intel plant Atom C3000 mit bis zu 16 Goldmont-CPU-Kernen

  2. Trotz Weiterbildung

    Arbeitslos als Fachinformatiker

  3. Klage gegen Steuernachzahlung

    Apple beruft sich auf europäische Grundrechte

  4. 3D Studio

    Nvidia spendiert Qt Hunderttausende Zeilen Code

  5. Horizon Zero Dawn im Test

    Abenteuer im Land der Maschinenmonster

  6. Qualcomm

    Snapdragon 210 bekommt Android-Things-Unterstützung

  7. New Radio

    Qualcomm lässt neues 5G-Air-Interface testen

  8. Snapdragon X20

    Qualcomm kündigt 1,2-GBit/s-LTE-Modem an

  9. Gesetzentwurf

    Streit über Handy-Kontrolle von Asylbewerbern

  10. Kryptomessenger

    Signal ab sofort ohne Play-Services nutzbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

  1. Selbst für LiMuX

    gadthrawn | 15:13

  2. Fachinformatiker = Taxidiplom

    TC | 15:13

  3. Re: Also doch nicht 10 Jahre Berufserfahrung ...

    der_wahre_hannes | 15:13

  4. Re: Wen wundert das jetzt?

    AngryFrog | 15:11

  5. Re: Die USA machen es vor und...

    TrollNo1 | 15:11


  1. 15:00

  2. 14:45

  3. 14:13

  4. 14:12

  5. 14:00

  6. 13:30

  7. 13:30

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel