Für die letzten drei Hauptserien des Webframeworks hat das Rails-Team Sicherheitsupdates veröffentlicht. Die Versionen 5.0.0.1, 4.2.7.1 und 3.2.22.3 beheben eine Schwachstelle in Action View. Da Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält, sind Angriffe möglich.

Wenn Programme Benutzereingaben nicht überprüfen, wie in einem Beispiel im Bericht über die Schwachstelle CVE-2016-6316 (Common Vulnerabilities and Exposures), kann es problematisch werden.

Auch markieren einige Helper-Funktionen wie sanitize Strings bei der Weitergabe als html_safe und sind ebenfalls betroffen. Diese Schwachstelle betrifft alle Hauptversionen von 3 bis 5. Eine weitere betrifft nur die 4.2.x-Serie und ist weniger kritisch. Allerdings ermöglicht diese das Ausführen einer IS NULL-Abfrage durch Einfügen eines [nil]-Wertes in einen Request. Angreifer fügen dadurch keine beliebigen Werte in SQL-Abfragen ein, sondere suchen lediglich nach NULL-Werten oder können WHERE-Bedingungen entfernen, wie der CVE-2016-6317-Bericht darauf hinweist.

Die Entwickler raten dringend zur Aktualisierung von Ruby on Rails. In der offiziellen Bekanntmachung finden sich weitere Informationen und die Checksums der Updates.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE