Szerző: Gálffy Csaba

2013. január 9. 12:39

Sürgősen frissítsen minden Ruby-on-Rails felhasználó

Rendkívül súlyos hibát tartalmaz a Ruby-on-Rails framework összes kiadott verziója, függetlenül a fejlesztők odafigyelésétől. A javítás megérkezett, telepítése minden felhasználó oldal számára sürgősen ajánlott.

Rendkívül súlyos, az összes verzióra kiterjedő biztonsági hiba (pontosabban hibák sorozata) bukkant fel a népszerű Ruby-on-Rails szerveroldali keretrendszerben, amelyek kihasználásával megkerülhető a hitelesítő rendszer, tetszőleges SQL parancs futtatható, tetszőleges egyéb kód injektálható és futtatható, illetve DoS támadás alá vehető a futó webes alkalmazás. Az elemzések szerint a hiba minden Ruby-on-Rails implementációban megtalálható, függetlenül a konfigurációtól vagy a biztonságos fejlesztői gyakorlat meglététől. A hibajavítás az összes rendszerhez elérhető, telepítése sürgősen ajánlott.

"A sérülékenység az Action Pack komponenst érinti, és alapvetően egyfajta nem-biztonságos deszerializációról van szó: az Rails képes XML illetve XML-be ágyazott YAML formátumú, felhasználótól érkező bemeneteket automatikusan Ruby objektumokká alakítani, ami egy igen hasznos szolgáltatás, a bökkenő azonban az, hogy ilyen módon tetszőleges szimbólum illetve objektum futásidőben módosíthatóvá válik. Az Insinuator elemzése egy olyan kihasználási vektort mutat, melyben a támadó a Rails által használt Arel SQL interfész objektumainak állapotát manipulálja közvetlenül, kikerülve ezzel a setter metódusok ellenőrzéseit, gyakorlatilag SQL injectiont hozva létre." - írja a BuheraBlog.

Üzleti alkalmazások és e-kereskedelmi oldalak kedvence a Ruby-on-Rails

A biztonsági rés a kiadott frissítések telepítésével foltozható, ha ez valamilyen okból nem azonnal járható út, akkor az XML-paraméterek feldolgozásának letiltása óvhatja meg a rendszert. A biztonságos verziók száma 3.2.11, 3.1.10, 3.0.19, 2.3.15 - tehát a korábbi, nem támogatott kiadások (a 2.3-mal bezárólag) is kapnak javítást a most felfedezett hibára.

A Ruby-on-Rails a webes alkalmazások népszerű keretrendszere, számtalan szolgáltatás használja valamilyen formában a környezetet a Twittertől a Githubig, a Yammer, a Groupon, és a Scribd is. Egy friss felmérés szerint jelenleg mintegy 240 ezer oldal használ RoR-t, a Top 10000-ben pedig arányuk meghaladja a 2 százalékot.

a címlapról