Security-Fixes für Ruby on Rails verfügbar

Die Updates verhindern Cross-Site-Scritping-Attacken über html_safe in den Hauptversionen 3, 4 und 5 sowie die Möglichkeit, Queries in Rails 4.2.x zu manipulieren.

In Pocket speichern vorlesen Druckansicht
Security-Fixes für Rails verfügbar
Lesezeit: 1 Min.
Von
  • Jürgen Kuri

Das Rails-Team hat Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht: Die Versionen 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View. Angriffe sind möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Problematisch wird das, wenn Programme Benutzereingaben ohne Überprüfung übernehmen wie bei folgendem Beispiel aus der Bericht zur als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle.

content_tag(:div, "hi", title: user_input.html_safe)

Der Report weist auch darauf hin, dass einige Helper-Funktionen wie sanitize Strings bei der Weitergabe als html_safe markieren und ebenfalls betroffen sind. Neben der Schwachstelle, die alle Hauptversionen von 3 bis 5 betreffen, gibt es noch eine weitere, die nur die 4.2.x-Serie betrifft. Sie ist zwar weniger kritisch, ermöglicht aber das Ausführen einer IS NULL-Abfrage durch Einfügen eines [nil]-Wertes in einen Request. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer dadurch keine beliebigen Werte in SQL-Abfragen einfügen, sondere lediglich nach NULL-Werten suchen oder WHERE-Bedingungen entfernen können.

Die Macher raten dringend zur Aktualisierung von Ruby on Rails. Weitere Informationen sowie die Checksums der Updates finden sich in der offiziellen Bekanntmachung. (jk)