Sicherheits-Bugfix für Ruby on Rails
Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.
Das Web-Framework Ruby on Rails enthält im Modul zum Schutz vor Cross Site Request Forgery (CSRF) einen sicherheitskritischen Fehler. Davon sind die Rails-Versionen 2.1, 2.2, 2.3, und 3.0 betroffen. Unter bestimmten Umständen kann ein Angreifer dem Browser argloser Anwender manipulierte HTTP-Header unterschieben, die dann zum Angriff auf eine Webanwendung dienen. Allen Anwendern des CSRF-Moduls raten die Rails-Entwickler zum Update. Die Sicherheitslücke wird in der CVE-Datenbank unter der ID CVE-2011-0447 geführt.
Für die aktuellen Versionen 2.3 und 3.0 gibt es Updates im Ruby-eigenen Gem-Paket-Format, für die älteren Versionen nur Source-Code-Patches. Die aktualisierten Rails-Releases 3.0.4 und 2.3.11, die die Bugfixes bereits enthalten, stehen ebenfalls zum Download bereit. Über das Update hinaus, das ein neues Security-Token im Ablauf von Rails-Anwendungen vorsieht, müssen Rails-Programmierer ihre Anwendungen entsprechend überarbeiten. Hinweise dazu gibt Webseite, die die Sicherheitslücke dokumentiert.
Ruby on Rails 3.0 veröffentlicht
Nach beinahe zweijähriger Entwicklungszeit haben die Rails-Entwickler Version 3.0 ihres Webframeworks veröffentlicht.
Konfigurationsmanagement
Themen
