image

Duizenden websites in gevaar door Ruby on Rails-lek

vrijdag 11 januari 2013, 13:19 door Redactie, 1 reacties

Het beveiligingslek in Ruby on Rails waardoor DigiD woensdag offline ging heeft gevolgen voor honderdduizenden websites. Rails is een open source framework voor het ontwikkelen van webapplicaties voor de Ruby programmeertaal. Volgens de website builtwith.com zouden meer dan 240.000 websites Ruby on Rails gebruiken.

Daarvan behoren ruim 48.000 websites tot de meeste bezochte sites op het internet. Via het lek kunnen aanvallers de website of applicatie en onderliggende server overnemen. Inmiddels is er ook een exploit voor het Ruby on Rails-lek, waar wel een beveiligingsupdate voor beschikbaar is, in de hackertool Metasploit verschenen.

Bedenker van Metasploit, H.D. Moore, heeft nu een uitgebreide blogpost geschreven waarin hij beschrijft hoe Metasploit-gebruikers kwetsbare Ruby on Rails-versies kunnen identificeren en aanvallen. Iets wat met de hackertool vrij eenvoudig blijkt te zijn.

Toekomst
Eerder kwalificeerde Moore het lek al als de grootste kwetsbaarheid die tot nu toe in Ruby on Rails was ontdekt en ook in de toekomst verwacht hij dat penetratie testers en security auditors het lek regelmatig zullen blijven tegenkomen.

"Gegeven het wijdverbreide gebruik van Ruby on Rails en de mix van websites en webgebaseerde producten die het gebruiken, kan dit lek in de komende jaren een veel gevonden probleem worden."

Reacties (1)
11-01-2013, 15:45 door yobi
Gaat Digid weer offline?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.