Weblog

door Koert onder Site ManagementVPS / Server Management | 0 comments

Kritische vulnerability in Ruby on Rails gevonden

Er is een kritische vulnerability in Ruby on Rails gevonden. Hierdoor kunnen verreweg de meeste Ruby on Rails sites gehacked worden. De site digid.nl is bijvoorbeeld vanwege deze vulnerability vanmiddag door de beheerders een tijdlang down gebracht.

Iedere Ruby on Rails applicatie die XML niet uit heeft gezet is kwetsbaar, zelfs als yaml-ondersteuning uit staat. XLM staat standaard aan op deze omgevingen. De fix is het upgraden van het Ruby on Rails framework naar een van de volgende versies: 3.2.11, 3.1.10, 3.0.19, of 2.3.15.

Technisch werkt de vulnerability als volgt: Door in de HTTP postbody een XML-document te stoppen, en in dat XML-document een yaml value mee te geven, kunnen er willekeurige Ruby objecten aanmaakt worden. Dit kan in vrijwel alle toepassingen misbruikt worden om een SQL injectie te lanceren. In sommige gevallen kunnen er zelfs systeemcommandos uitvoerd worden. Meer details hier, hier en hier.

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen