Ernstig SQL-lek in Ruby on Rails gepatcht
De makers van het populaire opensource-webapplicatieframework Ruby on Rails hebben een belangrijke beveiligingsupdate uitgebracht. De patch verhelpt een SQL Injectie-probleem dat in alle versies aanwezig was. De ontwikkelaars adviseren dan ook alle beheerders om direct naar versie 3.2.10, 3.1.9 of 3.0.18 te upgraden. Doordat de exploit voor het lek al online stond, zagen de ontwikkelaars geen andere mogelijkheid.
"We betreuren het om een release zoals deze zo dicht op de vakantie uit te brengen, maar helaas is de exploit publiek geopenbaard en vinden we dat we de release niet verder kunnen uitstellen." Om de impact voor beheerders te beperken, is het aantal aanpassingen in elke nieuwe versie tot een minimum beperkt, waardoor het upgraden zo eenvoudig mogelijk zou moeten zijn.
De exploit stond al sinds 21 december online en maakte het mogelijk om inloggegevens van Ruby on Rails-systemen te stelen.
Dit is niet de eerste keer dat ActiveRecord lek blijkt te zijn, waarom denkt iemand dat het nu handiger is om een query dynamisch op te bouwen uit data die je niet altijd kunt vertrouwen! En ook nog de optie bied om de query die word uitgevoerd uit te breiden. Je breekt hiermee wel zo verschrikkelijk veel conventies en design patterns.
Gewelige reactie.
Are you not above such PR moves as this? This is a quite serious security problem, it’s not something to overlook. While obviously obscure, and not many applications are vulnerable, that is no consolation for those applications which are.
Obscure bugs are no less serious that very common, for the affected software. Saying otherwise is like saying Rails do not need to concern itself with security compared to, say, the relative popularity of PHP.
The fact that this bug is a design bug — every part of Rails and in this case Authlogic works as intended, but with unforeseen consequences — is particularly frightening. There is simply too much magic in here, when this kind of cross interaction bugs are not even not by the original implementors.
"There is simply too much magic in here", inderdaad.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
