Sicherheits-Bugfix für Ruby on Rails

09.02.2011

Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.

 

Das Web-Framework Ruby on Rails enthält im Modul zum Schutz vor Cross Site Request Forgery (CSRF) einen sicherheitskritischen Fehler. Davon sind die Rails-Versionen 2.1, 2.2, 2.3, und 3.0 betroffen. Unter bestimmten Umständen kann ein Angreifer dem Browser argloser Anwender manipulierte HTTP-Header unterschieben, die dann zum Angriff auf eine Webanwendung dienen. Allen Anwendern des CSRF-Moduls raten die Rails-Entwickler zum Update. Die Sicherheitslücke wird in der CVE-Datenbank unter der ID  CVE-2011-0447 geführt.

Für die aktuellen Versionen 2.3 und 3.0 gibt es Updates im Ruby-eigenen Gem-Paket-Format, für die älteren Versionen nur Source-Code-Patches. Die aktualisierten Rails-Releases 3.0.4 und 2.3.11 , die die Bugfixes bereits enthalten, stehen ebenfalls zum Download bereit. Über das Update hinaus, das ein neues Security-Token im Ablauf von Rails-Anwendungen vorsieht, müssen Rails-Programmierer ihre Anwendungen entsprechend überarbeiten. Hinweise dazu gibt Webseite, die die Sicherheitslücke dokumentiert .

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Ruby on Rails 3.0 veröffentlicht

Nach beinahe zweijähriger Entwicklungszeit haben die Rails-Entwickler Version 3.0 ihres Webframeworks veröffentlicht.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022