Zwei Patches schließen SQL-Injection-Lücken in Ruby on Rails
Zwei recht ähnliche Lücken erlaubten SQL-Injections auf Websites, die auf Ruby on Rails 2.0.0 bis 3.1.18 sowie auf 4.x aufsetzen. In mehreren Anläufen haben die Rails-Entwickler die Lücken nun geschlossen.
- Susanne Nolte
Gleich zwei Sicherheitslücken haben die Entwickler in Ruby on Rails gefunden und gepacht. Beide Lücken betreffen mit dem Entwicklungs-Framework erstellte Websites, die die Datenbank PostgreSQL verwenden und dadurch per SQL-Injection angreifbar sind.
Erst am Mittwoch veröffentlichten die Entwickler der Open-Source-Plattform die Rails-Versionen 3.2.19, 4.0.7 und 4.1.3 mit dem Hinweis, die Updates so schnell wie möglich einzuspielen. Kurz darauf folgten die Patches 4.0.8 und 4.1.4, da die vorherigen Updates selbst nicht fehlerfrei waren.
Die erste SQL-Injection-Lücke betraf Anwendungen, die auf Ruby on Rails 2..x und 3.x aufsetzen und in der PostgreSQL-Datenbank Daten vom Typ Bit String abfragen. Die zweite Lücke betraf Anwendungen auf Basis von Rails 4.x, die in PostgreSQL mit Daten vom Typ Range hantieren.
Für den Fall, dass ein Upgrade nicht möglich sein sollte, haben die Entwickler Code-Patches bereit gestellt, die sich manuell einpflegen lassen. Ruby on Rails wird von einigen großen Websites wie GitHub, Scribd und Kickstarter als Entwicklungsplattform benutzt. (sun)
