Neues Sicherheits-Update für Ruby on Rails
Mit den Rails-Versionen 3.2.12 und 3.1.11 und 2.3.17 werden kritische Sicherheitslücken geschlossen. Zusätzlich sollen Nutzer das Gem für JSON auf die neuste Version aktualisieren.
Das Ruby-on-Rails [1]-Team schließt weitere kritische Sicherheitslücken in dem populären Web-Application-Framework. Mit den Updates auf die Versionen 3.2.12, 3.1.11 und 2.3.17 wird die Sicherheitslücke mit der Bezeichnung CVE-2013-0276 [2] geschlossen. Ebenfalls wird ein Fehler (CVE-2013-0277 [3]) in der Version 2.3.x behoben, der das Ausführen von Schadcode bei der Deserialisierung von YAML-Objekten ermöglichte. Zusätzlich weisen die Entwickler auf einen expliziten Fehler in dem Funktions-Paket (Gem) für JSON hin.
Im Detail wurde auf allen drei Versionszweigen ein Fehler [4] der "attr_protect"-Methode von "ActiveRecord" behoben. Mit der Methode wird eine Blacklist gesetzt. Die umgekehrte Methode "attr_accessible" – welche eine Whitelist erzeugt – ist interessanterweise davon nicht betroffen. Die Möglichkeit einer Remote-Code-Execution durch eine Sicherheitslücke bei der Deserialisierung von YAML-Code ist in der Version 2.3.17 ebenfalls behoben. Versionen nach 3.1.x sind von diesem Fehler nicht betroffen. Laut dem Ruby-Sicherheitsexperten Aaron Patterson [5] wurde YAML schon als Angriffsvektor für den erfolgreichen Hack der Rubygems.org verantwortlich gemacht [6].
Projekte mit dem JSON-Gem sind verwundbar für Denial-of-Service-Attacken. So nutzt beispielsweise das Social Network Diaspora [7] dieses Gem. Der Fehler [8] betrifft die Erzeugung von Ruby Symbolen. Durch die "JSON.parse()"-Methode können beliebige Symbol [9]-Objekte erzeugt werden. Da diese Objekte nicht aus dem Speicher entfernt werden, sind Denial-of-Service-Attacken möglich. Zusätzlich sollen SQL-Injektion-Angriffe in OR-Mappern möglich sein [10]. Das Gem sollte laut den Rails-Entwicklern schnellstmöglich nachgeladen und aktualisiert werden.
Seit Jahresbeginn sorgt das Framework immer wieder mit kritischen Sicherheitslücken für Schlagzeilen. Für eine Anfang Januar entdeckte Lücke [11] kursierte kurz darauf ein Exploit [12]. Zuletzt hatten die Entwickler eine sehr kritische Lücke [13] in dem Web-Framework geschlossen, durch die ein Angreifer Code in den Server einschleusen kann. (ogo [14])
URL dieses Artikels:
https://www.heise.de/-1802557
Links in diesem Artikel:
[1] http://rubyonrails.org
[2] https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/AFBKNY7VSH8
[3] https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/KtmwSbEpzrU
[4] http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/
[5] http://tenderlovemaking.com
[6] https://www.heise.de/news/Schadcode-in-Rubys-Software-Archiv-1794663.html
[7] http://diaspora.github.com/diaspora/
[8] https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/4_YvCpLzL58
[9] http://www.ruby-doc.org/core-1.9.3/Symbol.html
[10] http://www.zweitag.de/en/blog/ruby-on-rails-vulnerable-to-mass-assignment-and-sql-injection
[11] https://www.heise.de/news/Gefahr-durch-eingeschmuggelte-Ruby-on-Rails-Objekte-1780281.html
[12] https://www.heise.de/news/Exploit-fuer-Ruby-on-Rails-im-Umlauf-1780936.html
[13] https://www.heise.de/news/Weitere-kritische-Luecke-in-Ruby-on-Rails-geschlossen-1793004.html
[14] mailto:ogo@heise.de
Copyright © 2013 Heise Medien