Sicherheitslücken in Ruby on Rails: Update verfügbar

Im Web-Framework Ruby on Rails gibt es zwei Schwachstellen, die mit Version 2.1.1 behoben werden. Ein XML entity explosion-Attack genannter DoS-Angriff ermöglichte es Angreifern das Framework aus der Ferne zum Absturz zu bringen. Hierfür war ein Fehler der REXML-Bibliothek beim Auswerten von XML-Nutzerangaben verantwortlich.  Das Problem taucht bei allen Ruby-Anwendungen auf, die auf die Versionen 1.8.6-p287 und 1.8.7-p72, sowie deren Vorgänger aufsetzen. Für Ruby selbst, gibt es derzeit nur einen Quellcode-Patch und eine Anleitung, wie sich der Fehler eingrenzen läßt. Mit Ruby on Rails 2.1.1 haben die Entwickler zudem, die seit Version 2.1 bekannte SQL-Injection-Lücke beseitigt, die zwar bereits geschlossen, aber dennoch im MySQL-Adapter zu finden war. Hier gibt es eine Übersicht aller Fehler, die mit Version 2.1.1 beseitigt werden. Die ebenfalls erschienene Version 2.0.4 behebt nur das REXML-Problem.

0 Kommentar(e)

Zum Posten von Kommentaren bitte