Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Updates für Ruby on Rails

11. Jänner 2013

Die Entwickler von Ruby on Rails haben am 9. Jänner Updates auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 veröffentlicht - mit diesen Updates wurde unter anderem der kritische Fehler (CVE-2013-0156) behoben, welcher es Angreifern ermöglichte durch simple POST-Requests unerwünschten Code einzuschleusen und ganze Web-Server zu kapern. Kurz nach Bekanntwerden der Lücke ist auch schon ein Modul für das Metasploit-Framework aufgetaucht, welches gezielt diesen Fehler ausnutzt. Aufgrund der simplen Art und Weise erfolgreiche Angriffe durchzuführen, empfehlen wir dringend das jeweilige Update einzuspielen.

Bereits Ende Dezember 2012 hat "joernchen" (ein Mitglied der Entwickler-Gruppe "phneoelit") bekanntgegeben, dass er beim Versuch die Authentifizierungsmethoden von RoR zu knacken, auf einen Fehler bei der Implementierung von find_by_*-Methoden in ActiveRecord gestoßen ist welcher Angreifern SQL-Injections ermöglicht. Dieser Bug wurde bereits mit den RoR-Versionen 3.0.18, 3.1.9 und 3.2.10 behoben. Für ältere Versionen (<= 2.3) stehen Patches zur Verfügung.

Autor:

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates verfügbar
16. Mai 2019 | Beschreibung | Microsoft ...
Update: ASUS Live Update verbreitete Schadsoftware
25. März 2019 | Update: ...
mehr ...
CEO Fraud goes WhatsApp
24. Mai 2019 | Uns wurde ...
Cyber Security Challenge 2019
17. Mai 2019 | Auch heuer ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/1/11 - 17:04:29
Haftungsausschluss / Datenschutzerklärung