Zum Hauptinhalt Zur Navigation

Abo testen Anmelden

Sicherheit: Kritische Sicherheitslücke in Ruby on Rails

Ein kritischer Fehler in fast allen Versionen von Ruby on Rails ermöglicht das Ausführen von Systemkommandos aus der Ferne. Die Schwachstelle ist im XML-Parser . Patches für etliche Ruby-on-Rails-Versionen sind bereits erhältlich.

9. Januar 2013 um 12:04 Uhr / Jörg Thoma

5 Kommentare News folgen (öffnet im neuen Fenster)

In Ruby on Rails befindet sich eine kritische Schwachstelle. (Bild: Ruby On Rails) — In Ruby on Rails befindet sich eine kritische Schwachstelle. Bild: Ruby On Rails

Über eine Sicherheitslücke im XML-Parser von Ruby on Rails lässt sich Code aus der Ferne über den Aufruf Hash.from_xml() auf einen Server einschleusen und ausführen. Die Schwachstelle CVE-2013-0156(öffnet im neuen Fenster) ermöglicht es beispielsweise, über Yaml auf Ruby-Symbole zuzugreifen, über die sich eine Endlosschleife auslösen lässt.

Ruby on Rails ermöglicht die automatische Zuordnung von Typen, die allerdings nicht überprüft werden. Es wird normalerweise davon ausgegangen, dass Strings, Arrays oder Hashes übergeben werden. In einem Proof of Concept beschreibt Sicherheitsexperte Felix Wilhelm(öffnet im neuen Fenster) einen Angriff per SQL-Injection über Yaml.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Administration von Microsoft 365? So gehts!

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

Karriere Ratgeber: Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

Advanced Python – Advanced Programming Techniques: 3-Day Virtual Seminar (English)

Seminar: Advanced Python – Advanced Programming Techniques: 3-Day Virtual Seminar (English)

Efficient Teamwork in Microsoft Teams (E-learning in English)

E-Learning: Efficient Teamwork in Microsoft Teams (E-learning in English)

Laut der Webseite Arstechnica arbeiten die Entwickler des Sicherheitsframeworks Metasploit bereits an einem Modul, das das Internet nach offenen Ruby-on-Rails-Servern durchsuchen soll.

Die Ruby-on-Rails-Entwickler raten, schnellstmöglich auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 von Ruby on Rails zu aktualisieren, die die Schwachstelle schließen(öffnet im neuen Fenster) . Alternativ können Administratoren(öffnet im neuen Fenster) vorübergehend das Verarbeiten von Yaml und von Symbolen deaktivieren oder den XML-Parser komplett abschalten, wenn dieser nicht benötigt wird.

Zur Startseite 5 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

lade Kommentare...

Golem Basic

GPU: Nvidia GeForce RTX 5060 Ti 8GB
CPU: Intel Core Ultra 5 245KF
RAM: 32 GB DDR5
SSD: 1 TB NVMe

€ 1.529,90 inkl. MwSt. Solange der Vorrat reicht

Zum Angebot (öffnet im neuen Fenster)

In Skype lässt sich ein Codeeditor für Bewerbungen nutzen. (Bild: Microsoft) (Microsoft)

Microsoft: Skype bringt Bewerbungsfunktion für Programmierer

Ein Codeeditor zum Testen der Fähigkeiten: In Skype können Unternehmen die Fähigkeiten ihrer Bewerber aus der Ferne testen. Der Codeeditor unterstützt bisher sieben verschiedene, wichtige Programmiersprachen und Echtzeit-Testläufe des Codes.

Eine Funktion in Rails setzten die Github-Entwickler nachlässig um. (Bild: Github/Screenshot: Golem.de) (Github/Screenshot: Golem.de)

Programmierfehler: Ruby-on-Rails-Repository bei Github kompromittiert

Einem Angreifer gelang es, Schreibzugriff auf das Github-Repository der Entwickler von Ruby-on-Rails zu bekommen. Der verantwortliche Github-Nutzer darf nach einem kurzen Ausschluss seinen Account weiter nutzen - er handelte nicht bösartig.

LLVM-Compiler bekommen eine Maßnahme gegen Spectre. (Bild: LLVM.org/Montage: Golem.de) (LLVM.org/Montage: Golem.de)

LLVM 6.0: Clang bekommt Maßnahme gegen Spectre-Angriff

Die neue Version der LLVM-Compiler wie Clang bringt mit Retpolines eine wichtige Maßnahme gegen Angriffe über Spectre. Davon profitieren auch künftige Windows-Versionen von Google Chrome. Optimierungen gibt es außerdem bei der Diagnose von Quelltexten.

Im KI-Wettlauf müssen womöglich bald auch Privatleute ihrem Geld hinterherrennen. (Bild: Mohamed_hassan/Pixabay) (Mohamed_hassan/Pixabay)

KI: Jetzt wird es teuer für alle

Das Management liebt weiter ein Phantom, doch 2026 wird das ein Risiko für alle. Denn: Privathaushalte und Steuerzahler werden die Zeche für die Kosten der KI-Bubble zahlen.

Warners Streamingabo HBO Max im Test (Bild: Warner/Screenshot: Golem) (Warner/Screenshot: Golem)

HBO Max im Test: Warners Abo ist technisch top, enttäuscht aber beim Katalog

HBO Max ist für technisch anspruchsvolle Film- und Serienfans ein wahrer Befreiungsschlag. Eine Warner-Filmbibliothek ist es allerdings nicht.

Andrew Feustel arbeitet 2009 am Weltraumteleskop Hubble. (Bild: Nasa) (Nasa)

Weltraumteleskop: Hubble vor dem Absturz und vor der Ablösung

Seit Jahren sinkt Hubble und könnte bald einen kritischen Bereich erreichen. Parallel könnte Ersatz von ungewöhnlicher Seite kommen.

Karrierewelt

IT-Systemtechniker (m/w/x) NETPERFORMERS – Marketing & IT-Services GmbH, Kriftel (öffnet im neuen Fenster)

Network Administrator*in (m/w/d) Max-Planck-Institut für biologische Kybernetik, Tübingen (öffnet im neuen Fenster)

IT-Koordinator (m/w/d) DUNMORE Europe, Freiburg im Breisgau (öffnet im neuen Fenster)

IT-Business-Architect (m/w/d) naturenergie hochrhein AG, Rheinfelden (öffnet im neuen Fenster)