Die Entwickler haben gleich zwei Sicherheitslücken in Ruby on Rails gefunden und gepatcht. Mit dem Entwicklungs-Framework erstellte Websites, die die Datenbank PostgreSQL verwenden und dadurch per SQL-Injection angreifbar sind, sind von beiden Lücken betroffen.

Die Rails-Versionen 3.2.19, 4.0.7 und 4.1.3 veröffentlichten die Entwickler der Open-Source-Plattform erst am Mittwoch mit dem Hinweis, so schnell wie möglich die Updates einzuspielen. Da die vorherigen Updates selbst nicht fehlerfrei waren, folgten kurz darauf die Patches 4.0.8 und 4.1.4.

Anwendungen, die in der PostgreSQL-Datenbank Daten vom Typ Bit String abfragen und auf Ruby on Rails 2..x und 3.x aufsetzen, waren von der ersten SQL-Injection-Lücke betroffen. Die zweite Lücke betraf Anwendungen, die in PostgreSQL mit Daten vom Typ Range hantieren, auf Basis von Rails 4.x.

Die Entwickler haben, sich manuell einpflegen lassende, Code-Patches bereit gestellt, für den Fall, dass ein Upgrade nicht möglich sein sollte. Von einigen großen Websites wie Scribd, GitHub und Kickstarter wird Ruby on Rails als Entwicklungsplattform benutzt.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE