Exploit für Ruby on Rails im Umlauf

Für die am Mittwoch gemeldete, kritische Lücke in Ruby on Rails kursieren erste Exploits; es treffen auch bereits erste Berichte über gekaperte Web-Server ein. Diese Lücke ist derzeit äußerst gefährlich, weil sie eine sehr große Anzahl von Applikationen und Servern betrifft. Wer also einen Server mit Rails-Applikationen administriert, sollte jetzt dringend handeln und entweder eine aktualisierte Version einspielen oder zumindest provisorische Schutzvorkehrungen treffen.

Am Mittwoch veröffentlichten die Rails-Entwickler Updates, die zwei Fehler beseitigen, von denen zumindest der mit der Nummer CVE-2013-0156 als kritisch eingestuft ist. Denn die zugrunde liegende Lücke ermöglicht es, Code einzuschleusen und dann auf dem Server mit den Rechten der attackierten Rails-Applikation auszuführen. Der Fehler liegt in der Art und Weise wie Rails Daten vom Anwender entgegen nimmt. Angreifer müssen nur passende Daten etwa via POST-Request an eine Anwendung schicken, um ihn auszunutzen. Betroffen sind alle Umgebungen, in denen der XML-Parser aktiv ist, was standardmäßig der Fall ist.

Der erste Workaround ist denn auch, den XML Parser abzuschalten, was allerdings zu Problemen führt, wenn die Applikation XML-Eingaben verarbeiten muss. Für diese Fälle beschreibt das Sicherheits-Advisory der Rails-Entwickler auch, wie man die Unterstützung für YAML- und Symbol-Typen im XML Parser abschaltet.

Besser ist es, die Laufzeitumgebung gleich auf eine der aktuellen Versionen umzustellen. Immun sind derzeit nur die RoR-Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 – alle anderen sind prinzipiell anfällig. Der Demo-Exploit beschreibt recht detailliert, wie der Fehler zustande kommt und ausgenutzt werden kann. Da dies bereits in ein Modul für die Exploit-Plattform Metasploit gegossen wurde, können auch Leute ohne explizite Programmierkenntnisse die Lücke ausnutzen. Die Aktualisierung aller Ruby-on-Rails-Installationen sollte also die höchste Dringlichkeitsstufe haben. (ju)