Kritische Sicherheitslücke in Ruby-on-Rails
Das Webanwendungs-Framework Ruby-on-Rails enthält kritische Sicherheitslücken. Eine neue Version der Software schließt die Lecks.
Die Entwickler des Webanwendungs-Framework Ruby-on-Rails (RoR, Rails) haben eine neue Version der Software herausgegeben, die Sicherheitslücken schließt. Durch einen Fehler in Rails war es möglich, über präparierte URLs Denial-of-Service-Angriffe gegen Rails-Installationen auszuführen. Mit Rails lassen sich schlanke Webanwendungen erstellen. Rails stellt Programmierkonventionen über die Anwendungskonfiguration und ermöglicht unter anderem die Entwicklung von AJAX-Anwendungen.
Durch fehlerhafte Überprüfung der URLs konnten Angreifer über manipulierte URLs etwa /script/profiler starten, wodurch so genannter Evaluationscode für sehr lange Zeit lief und der Prozess für diesen Zeitraum hing. Andere URLs könnten sogar zu Datenverlusten führen. Nähere Angaben wollten die Entwickler in ihrem Fehlerbericht zunächst aufgrund des Risikos möglicher Angriffe nicht machen. In einem Update kündigten sie dann aber doch an, Details zu veröffentlichen, um Anwendern die Gelegenheit zu geben, die Wirksamkeit der Patches zu testen.
Inzwischen gab es noch weitere Updates zu dem Update, und sogar einen weiteren Versionssprung. Sollte ursprünglich Version 1.1.5 die Schwachstelle in Ruby-on-Rails 1.1.0, 1.1.1, 1.1.2 und 1.1.4 schließen, ist inzwischen Version 1.1.6 aktuell. Da Version 1.1.5 die Sicherheitslücken nicht vollständig schließt, sind Anwender dieser Version dazu angehalten, trotzdem auf Version 1.1.6 zu aktualisieren.
Siehe dazu auch: (dmk)
- Rails 1.1.5: Mandatory security patch (and more), Ankündigung des RoR-Updates
- Rails 1.1.6, backports, and full disclosure, Ankündigung der neuen Version 1.1.6
- Download der aktuellen Standalone-Version von Rails
