Sicherheits-Bugfix für Ruby on Rails

09.02.2011

Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.

 

Das Web-Framework Ruby on Rails enthält im Modul zum Schutz vor Cross Site Request Forgery (CSRF) einen sicherheitskritischen Fehler. Davon sind die Rails-Versionen 2.1, 2.2, 2.3, und 3.0 betroffen. Unter bestimmten Umständen kann ein Angreifer dem Browser argloser Anwender manipulierte HTTP-Header unterschieben, die dann zum Angriff auf eine Webanwendung dienen. Allen Anwendern des CSRF-Moduls raten die Rails-Entwickler zum Update. Die Sicherheitslücke wird in der CVE-Datenbank unter der ID CVE-2011-0447 geführt.

Für die aktuellen Versionen 2.3 und 3.0 gibt es Updates im Ruby-eigenen Gem-Paket-Format, für die älteren Versionen nur Source-Code-Patches. Die aktualisierten Rails-Releases 3.0.4 und 2.3.11, die die Bugfixes bereits enthalten, stehen ebenfalls zum Download bereit. Über das Update hinaus, das ein neues Security-Token im Ablauf von Rails-Anwendungen vorsieht, müssen Rails-Programmierer ihre Anwendungen entsprechend überarbeiten. Hinweise dazu gibt Webseite, die die Sicherheitslücke dokumentiert.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Ruby on Rails 3.0 veröffentlicht

Nach beinahe zweijähriger Entwicklungszeit haben die Rails-Entwickler Version 3.0 ihres Webframeworks veröffentlicht.

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite