Neues Sicherheits-Update für Ruby on Rails

Mit den Rails-Versionen 3.2.12 und 3.1.11 und 2.3.17 werden kritische Sicherheitslücken geschlossen. Zusätzlich sollen Nutzer das Gem für JSON auf die neuste Version aktualisieren.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.
Von
  • Olaf Göllner

Das Ruby-on-Rails-Team schließt weitere kritische Sicherheitslücken in dem populären Web-Application-Framework. Mit den Updates auf die Versionen 3.2.12, 3.1.11 und 2.3.17 wird die Sicherheitslücke mit der Bezeichnung CVE-2013-0276 geschlossen. Ebenfalls wird ein Fehler (CVE-2013-0277) in der Version 2.3.x behoben, der das Ausführen von Schadcode bei der Deserialisierung von YAML-Objekten ermöglichte. Zusätzlich weisen die Entwickler auf einen expliziten Fehler in dem Funktions-Paket (Gem) für JSON hin.

Im Detail wurde auf allen drei Versionszweigen ein Fehler der "attr_protect"-Methode von "ActiveRecord" behoben. Mit der Methode wird eine Blacklist gesetzt. Die umgekehrte Methode "attr_accessible" – welche eine Whitelist erzeugt – ist interessanterweise davon nicht betroffen. Die Möglichkeit einer Remote-Code-Execution durch eine Sicherheitslücke bei der Deserialisierung von YAML-Code ist in der Version 2.3.17 ebenfalls behoben. Versionen nach 3.1.x sind von diesem Fehler nicht betroffen. Laut dem Ruby-Sicherheitsexperten Aaron Patterson wurde YAML schon als Angriffsvektor für den erfolgreichen Hack der Rubygems.org verantwortlich gemacht.

Projekte mit dem JSON-Gem sind verwundbar für Denial-of-Service-Attacken. So nutzt beispielsweise das Social Network Diaspora dieses Gem. Der Fehler betrifft die Erzeugung von Ruby Symbolen. Durch die "JSON.parse()"-Methode können beliebige Symbol-Objekte erzeugt werden. Da diese Objekte nicht aus dem Speicher entfernt werden, sind Denial-of-Service-Attacken möglich. Zusätzlich sollen SQL-Injektion-Angriffe in OR-Mappern möglich sein. Das Gem sollte laut den Rails-Entwicklern schnellstmöglich nachgeladen und aktualisiert werden.

Seit Jahresbeginn sorgt das Framework immer wieder mit kritischen Sicherheitslücken für Schlagzeilen. Für eine Anfang Januar entdeckte Lücke kursierte kurz darauf ein Exploit. Zuletzt hatten die Entwickler eine sehr kritische Lücke in dem Web-Framework geschlossen, durch die ein Angreifer Code in den Server einschleusen kann. (ogo)