image

Ernstig SQL-lek in Ruby on Rails gepatcht

donderdag 3 januari 2013, 17:18 door Redactie, 2 reacties

De makers van het populaire opensource-webapplicatieframework Ruby on Rails hebben een belangrijke beveiligingsupdate uitgebracht. De patch verhelpt een SQL Injectie-probleem dat in alle versies aanwezig was. De ontwikkelaars adviseren dan ook alle beheerders om direct naar versie 3.2.10, 3.1.9 of 3.0.18 te upgraden. Doordat de exploit voor het lek al online stond, zagen de ontwikkelaars geen andere mogelijkheid.

"We betreuren het om een release zoals deze zo dicht op de vakantie uit te brengen, maar helaas is de exploit publiek geopenbaard en vinden we dat we de release niet verder kunnen uitstellen." Om de impact voor beheerders te beperken, is het aantal aanpassingen in elke nieuwe versie tot een minimum beperkt, waardoor het upgraden zo eenvoudig mogelijk zou moeten zijn.

De exploit stond al sinds 21 december online en maakte het mogelijk om inloggegevens van Ruby on Rails-systemen te stelen.

Reacties (2)
03-01-2013, 21:19 door Anoniem
http://blog.phusion.nl/2013/01/03/rails-sql-injection-vulnerability-hold-your-horses-here-are-the-facts/#.UOXnponjmPA
10-01-2013, 09:40 door Anoniem
Als ik naar de details van de exploit kijk lag me echt rot!

Dit is niet de eerste keer dat ActiveRecord lek blijkt te zijn, waarom denkt iemand dat het nu handiger is om een query dynamisch op te bouwen uit data die je niet altijd kunt vertrouwen! En ook nog de optie bied om de query die word uitgevoerd uit te breiden. Je breekt hiermee wel zo verschrikkelijk veel conventies en design patterns.

Gewelige reactie.

Are you not above such PR moves as this? This is a quite serious security problem, it’s not something to overlook. While obviously obscure, and not many applications are vulnerable, that is no consolation for those applications which are.

Obscure bugs are no less serious that very common, for the affected software. Saying otherwise is like saying Rails do not need to concern itself with security compared to, say, the relative popularity of PHP.

The fact that this bug is a design bug — every part of Rails and in this case Authlogic works as intended, but with unforeseen consequences — is particularly frightening. There is simply too much magic in here, when this kind of cross interaction bugs are not even not by the original implementors.

"There is simply too much magic in here", inderdaad.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.