Sicherheits-Bugfix für Ruby on Rails

09.02.2011

Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.

 

Das Web-Framework Ruby on Rails enthält im Modul zum Schutz vor Cross Site Request Forgery (CSRF) einen sicherheitskritischen Fehler. Davon sind die Rails-Versionen 2.1, 2.2, 2.3, und 3.0 betroffen. Unter bestimmten Umständen kann ein Angreifer dem Browser argloser Anwender manipulierte HTTP-Header unterschieben, die dann zum Angriff auf eine Webanwendung dienen. Allen Anwendern des CSRF-Moduls raten die Rails-Entwickler zum Update. Die Sicherheitslücke wird in der CVE-Datenbank unter der ID CVE-2011-0447 geführt.

Für die aktuellen Versionen 2.3 und 3.0 gibt es Updates im Ruby-eigenen Gem-Paket-Format, für die älteren Versionen nur Source-Code-Patches. Die aktualisierten Rails-Releases 3.0.4 und 2.3.11, die die Bugfixes bereits enthalten, stehen ebenfalls zum Download bereit. Über das Update hinaus, das ein neues Security-Token im Ablauf von Rails-Anwendungen vorsieht, müssen Rails-Programmierer ihre Anwendungen entsprechend überarbeiten. Hinweise dazu gibt Webseite, die die Sicherheitslücke dokumentiert.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Ruby on Rails 3.0 veröffentlicht

Nach beinahe zweijähriger Entwicklungszeit haben die Rails-Entwickler Version 3.0 ihres Webframeworks veröffentlicht.

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018