zurück zum Artikel

Exploit für Ruby on Rails im Umlauf

Jürgen Schmidt

Die Sicherheitslücke in Ruby-On-Rails erweist sich als akut gefährlich; erste Exploits sind im Umlauf und Berichte über gekaperte Web-Server laufen ein. Administratoren sollten dringend handeln.

Für die am Mittwoch gemeldete, kritische Lücke in Ruby on Rails [1] kursieren erste Exploits; es treffen auch bereits erste Berichte über gekaperte Web-Server ein. Diese Lücke ist derzeit äußerst gefährlich, weil sie eine sehr große Anzahl von Applikationen und Servern betrifft. Wer also einen Server mit Rails-Applikationen administriert, sollte jetzt dringend handeln und entweder eine aktualisierte Version einspielen oder zumindest provisorische Schutzvorkehrungen treffen.

Am Mittwoch veröffentlichten die Rails-Entwickler Updates, die zwei Fehler beseitigen, von denen zumindest der mit der Nummer CVE-2013-0156 als kritisch eingestuft ist. Denn die zugrunde liegende Lücke ermöglicht es, Code einzuschleusen und dann auf dem Server mit den Rechten der attackierten Rails-Applikation auszuführen. Der Fehler liegt in der Art und Weise wie Rails Daten vom Anwender entgegen nimmt. Angreifer müssen nur passende Daten etwa via POST-Request an eine Anwendung schicken, um ihn auszunutzen. Betroffen sind alle Umgebungen, in denen der XML-Parser aktiv ist, was standardmäßig der Fall ist.

Der erste Workaround ist denn auch, den XML Parser abzuschalten, was allerdings zu Problemen führt, wenn die Applikation XML-Eingaben verarbeiten muss. Für diese Fälle beschreibt das Sicherheits-Advisory der Rails-Entwickler [2] auch, wie man die Unterstützung für YAML- und Symbol-Typen im XML Parser abschaltet.

Besser ist es, die Laufzeitumgebung gleich auf eine der aktuellen Versionen umzustellen. Immun sind derzeit nur die RoR-Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 [3] – alle anderen sind prinzipiell anfällig. Der Demo-Exploit [4] beschreibt recht detailliert, wie der Fehler zustande kommt und ausgenutzt werden kann. Da dies bereits in ein Modul für die Exploit-Plattform Metasploit [5] gegossen wurde, können auch Leute ohne explizite Programmierkenntnisse die Lücke ausnutzen. Die Aktualisierung aller Ruby-on-Rails-Installationen sollte also die höchste Dringlichkeitsstufe haben. (ju [6])

URL dieses Artikels:
https://www.heise.de/-1780936

Links in diesem Artikel:
[1] https://www.heise.de/news/Gefahr-durch-eingeschmuggelte-Ruby-on-Rails-Objekte-1780281.html
[2] https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion
[3] http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/
[4] https://github.com/ronin-ruby/ronin-ruby.github.com/blob/rails-pocs/blog/_posts/2013-01-09-rails-pocs.md
[5] https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/multi/http/rails_xml_yaml_code_exec.rb
[6] mailto:ju@ct.de

Copyright © 2013 Heise Medien