Ernstig SQL-lek in Ruby on Rails gepatcht
De makers van het populaire opensource-webapplicatieframework Ruby on Rails hebben een belangrijke beveiligingsupdate uitgebracht. De patch verhelpt een SQL Injectie-probleem dat in alle versies aanwezig was. De ontwikkelaars adviseren dan ook alle beheerders om direct naar versie 3.2.10, 3.1.9 of 3.0.18 te upgraden. Doordat de exploit voor het lek al online stond, zagen de ontwikkelaars geen andere mogelijkheid.
"We betreuren het om een release zoals deze zo dicht op de vakantie uit te brengen, maar helaas is de exploit publiek geopenbaard en vinden we dat we de release niet verder kunnen uitstellen." Om de impact voor beheerders te beperken, is het aantal aanpassingen in elke nieuwe versie tot een minimum beperkt, waardoor het upgraden zo eenvoudig mogelijk zou moeten zijn.
De exploit stond al sinds 21 december online en maakte het mogelijk om inloggegevens van Ruby on Rails-systemen te stelen.
Dit is niet de eerste keer dat ActiveRecord lek blijkt te zijn, waarom denkt iemand dat het nu handiger is om een query dynamisch op te bouwen uit data die je niet altijd kunt vertrouwen! En ook nog de optie bied om de query die word uitgevoerd uit te breiden. Je breekt hiermee wel zo verschrikkelijk veel conventies en design patterns.
Gewelige reactie.
Are you not above such PR moves as this? This is a quite serious security problem, it’s not something to overlook. While obviously obscure, and not many applications are vulnerable, that is no consolation for those applications which are.
Obscure bugs are no less serious that very common, for the affected software. Saying otherwise is like saying Rails do not need to concern itself with security compared to, say, the relative popularity of PHP.
The fact that this bug is a design bug — every part of Rails and in this case Authlogic works as intended, but with unforeseen consequences — is particularly frightening. There is simply too much magic in here, when this kind of cross interaction bugs are not even not by the original implementors.
"There is simply too much magic in here", inderdaad.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.