Eine kritische Schwachstelle, durch die ein Angreifer SQL-Befehle auf dem Datenbankserver ausführen kann, haben die Entwickler des Web-Frameworks Ruby on Rails geschlossen. Es ist dadurch zum Beispiel möglich, vertrauliche Datensätze unbefugt auszulesen. Die Lücke tritt bei der Verarbeitung verschachtelter Parameter auf und befindet sich in der Datenbankschnittstelle Active Record. Ausserdem wurde eine Schwachstelle beim Zusammenspiel von Active Record und Rack geschlossen, durch die Angreifer Datenbankabfragen manipulieren konnten.

Alle Versionen ab 3.0 sind von der ersten Lücke betroffen, die zweite existiert in sämtlichen Versionen von Ruby on Rails. Neben zahlreichen weiteren Bugs, wurden die Lücken in Version 3.2.4 geschlossen. Durch das Update haben sich allerdings alte Fehler wieder eingeschlichen, sodass kurz darauf die derzeit aktuelle Version 3.2.5 veröffentlicht wurde. Allen Nutzern des Frameworks empfehlen die Entwickler, umgehend auf die aktuelle Version umzusteigen. Die jenigen, die nicht umsteigen können, finden in der oben verlinkten Fehlerbeschreibung Workarounds und Patches.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE