Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Updates für Ruby on Rails

11. Jänner 2013

Die Entwickler von Ruby on Rails haben am 9. Jänner Updates auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 veröffentlicht - mit diesen Updates wurde unter anderem der kritische Fehler (CVE-2013-0156) behoben, welcher es Angreifern ermöglichte durch simple POST-Requests unerwünschten Code einzuschleusen und ganze Web-Server zu kapern. Kurz nach Bekanntwerden der Lücke ist auch schon ein Modul für das Metasploit-Framework aufgetaucht, welches gezielt diesen Fehler ausnutzt. Aufgrund der simplen Art und Weise erfolgreiche Angriffe durchzuführen, empfehlen wir dringend das jeweilige Update einzuspielen.

Bereits Ende Dezember 2012 hat "joernchen" (ein Mitglied der Entwickler-Gruppe "phneoelit") bekanntgegeben, dass er beim Versuch die Authentifizierungsmethoden von RoR zu knacken, auf einen Fehler bei der Implementierung von find_by_*-Methoden in ActiveRecord gestoßen ist welcher Angreifern SQL-Injections ermöglicht. Dieser Bug wurde bereits mit den RoR-Versionen 3.0.18, 3.1.9 und 3.2.10 behoben. Für ältere Versionen (<= 2.3) stehen Patches zur Verfügung.

Autor:

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/1/11 - 17:04:29
Haftungsausschluss / Datenschutzerklärung