Ruby on Rail securityprobleem
Ook het populaire Ruby on Rails web applicatie framework wordt nu geplaagd door een security probleem
Het Belgische securitybedrijf Zion Security meldt dat een securityprobleem werd gevonden in het populaire web applicatie framework Ruby on Rails. Concreet betreft de zwakheid (CVE-2013-0156) de wijze waarop input in een toepassing wordt verwerkt, waardoor cybermisdadigers de authenticatiesystemen kunnen omzeilen en kwaadaardige input kunnen invoeren (met onder meer SQL injectie of denial of service aanvallen). Een rechtsreeks gevolg is onder meer de kans dat achterliggende data kunnen worden gestolen.
De zwakheid wordt op het Ruby on Rails securityforum https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion als ‘kritiek’ omschreven, omdat blijkbaar alle versies kwetsbaar zijn. Op het forum staan een paar ‘workarounds’, met als hoofdadvies – beaamd door Zion – de uitschakeling van de ‘XML parsing’ faciliteit als die niet nodig is voor het draaien van de toepassing. Als dat niet mogelijk is, moet toch zeker de ‘YAML en Symbol type conversion’ vanuit de XML parser worden uitgeschakeld (met aanwijzingen hoe dat te doen voor een aantal versies). Omdat een en ander over deze zwakheid al in brede kring bekend is, wordt aanbevolen ‘meteen’ (“immediately”) de nodige stappen te doen.
Fout opgemerkt of meer nieuws? Meld het hier