Update für Ruby on Rails beseitigt Sicherheitsprobleme

Die Version 2.1.1 des Web-Frameworks Ruby on Rails beseitigt neben zahlreichen kleineren Problemen und Instabilitäten auch zwei Schwachstellen. So lässt sich durch einen Fehler in der REXML-Bibliothek von Ruby nahezu jede Ruby-Anwendung aus der Ferne zum Absturz bringen, die XML-Nutzerangaben mit REXML auswertete – was standardmäßig immer der Fall ist. Die Ruby-Entwickler nennen diese Art von DoS-Angriff "XML entity explosion"-Attack.

Der Fehler ist grundsätzlich in allen Ruby-Anwendungen zu finden, die auf 1.8.6-p287 und vorhergehende sowie 1.8.7-p72 und vorhergehende Versionen aufsetzen. Für Ruby selbst gibt es derzeit nur einen Quellcode-Patch beziehungsweise Anleitungen, wie man das Problem eindämmt.

Darüber hinaus ist in der neuen Version von Ruby on Rails eine SQL-Injection-Lücke beseitigt, die zwar schon seit Version 2.1 bekannt und gefixt ist, im MySQL-Adapter aber immer noch zu finden war. Dieses Problem ist nun nach Angaben der Entwickler beseitigt. Durch präparierte :limit und :offset-Parameter war es möglich, eigene Befehle an die Datenbank zu übergeben.

Neben 2.1.1 von Ruby on Rails ist auch Version 2.0.4 erschienen, in der jedoch nur das REXML-Problem beseitigt wurde.

Siehe dazu auch:

• DoS vulnerability in REXML, Fehlerbericht von Ruby
• Rails 2.1.1: Lots of bug fixes, Fehlerbericht von Ruby on Rails
• Ruby on Rails im heise Software-Verzeichnis

(dab)