11.01.2013 17:04

Updates für Ruby on Rails

Die Entwickler von Ruby on Rails haben am 9. Jänner Updates auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 veröffentlicht - mit diesen Updates wurde unter anderem der kritische Fehler (CVE-2013-0156) behoben, welcher es Angreifern ermöglichte durch simple POST-Requests unerwünschten Code einzuschleusen und ganze Web-Server zu kapern. Kurz nach Bekanntwerden der Lücke ist auch schon ein Modul für das Metasploit-Framework aufgetaucht, welches gezielt diesen Fehler ausnutzt. Aufgrund der simplen Art und Weise erfolgreiche Angriffe durchzuführen, empfehlen wir dringend das jeweilige Update einzuspielen.

Bereits Ende Dezember 2012 hat "joernchen" (ein Mitglied der Entwickler-Gruppe "phneoelit") bekanntgegeben, dass er beim Versuch die Authentifizierungsmethoden von RoR zu knacken, auf einen Fehler bei der Implementierung von find_by_*-Methoden in ActiveRecord gestoßen ist welcher Angreifern SQL-Injections ermöglicht. Dieser Bug wurde bereits mit den RoR-Versionen 3.0.18, 3.1.9 und 3.2.10 behoben. Für ältere Versionen (<= 2.3) stehen Patches zur Verfügung.

Autor: