zurück zum Artikel

Die Updates verhindern Cross-Site-Scritping-Attacken über html_safe in den Hauptversionen 3, 4 und 5 sowie die Möglichkeit, Queries in Rails 4.2.x zu manipulieren.

Das Rails-Team hat Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht: Die Versionen 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View. Angriffe sind möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Problematisch wird das, wenn Programme Benutzereingaben ohne Überprüfung übernehmen wie bei folgendem Beispiel aus der Bericht zur als CVE-2016-6316 [1] (Common Vulnerabilities and Exposures) markierten Schwachstelle.

content_tag(:div, "hi", title: user_input.html_safe)

Der Report weist auch darauf hin, dass einige Helper-Funktionen wie sanitize Strings bei der Weitergabe als html_safe markieren und ebenfalls betroffen sind. Neben der Schwachstelle, die alle Hauptversionen von 3 bis 5 betreffen, gibt es noch eine weitere, die nur die 4.2.x-Serie betrifft. Sie ist zwar weniger kritisch, ermöglicht aber das Ausführen einer IS NULL-Abfrage durch Einfügen eines [nil]-Wertes in einen Request. Der CVE-2016-6317-Bericht [2] weist darauf hin, dass Angreifer dadurch keine beliebigen Werte in SQL-Abfragen einfügen, sondere lediglich nach NULL-Werten suchen oder WHERE-Bedingungen entfernen können.

Die Macher raten dringend zur Aktualisierung von Ruby on Rails. Weitere Informationen sowie die Checksums der Updates finden sich in der offiziellen Bekanntmachung [3]. (jk [4])

URL dieses Artikels:
https://www.heise.de/-3293426

Links in diesem Artikel:
[1] https://groups.google.com/forum/#!topic/ruby-security-ann/8B2iV2tPRSE
[2] https://groups.google.com/forum/#!topic/ruby-security-ann/WccgKSKiPZA
[3] http://weblog.rubyonrails.org/2016/8/11/Rails-5-0-0-1-4-2-7-2-and-3-2-22-3-have-been-released/
[4] mailto:jk@heise.de

Copyright © 2016 Heise Medien