Hochkritische Sicherheitslücke in Ruby on Rails

Das deutsche BSI warnt vor einer besonders kritischen Sicherheitslücke in Ruby on Rails, für die bereits ein Angriffscode veröffentlicht wurde. Angreifer können die Sicherheitslücke ausnutzen, um Schadcode auszuführen. Die Sicherheitslücke befindet sich in der XML-Auswertung des Web-Application Framework Ruby on Rails. Angreifer können sie ausnutzen, um Systeme wie Server und Applikationen aus der Ferne zu kompromittieren, beliebigen Code auszuführen und Authentisierungsverfahren zu umgehen.

Die Sicherheitslücke gilt auch deshalb als kritisch, weil Ruby on Rails weit verbreitet ist. Zudem existiert bereits ein veröffentlichtes Metasploit-Modul, das eine automatisierte Ausnutzung ermöglicht. Laut Bürger-Cert macht das einen zeitnahen Anstieg von Angriffen auf ungepatchte Ruby on Rails-Websites wahrscheinlich. Administratoren des Frameworks sollten angesichts der besonderen Dringlichkeit die von Ruby on Rails angebotenen Updates schnellstmöglich installieren. Nicht verwundbar sind nur die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15. Verfügbar sind diese auf der Seite desHerstellers. (ph/com!)

Siehe auch: Ruby on Rails 3.1 setzt auf HTTP Streaming und jQuery