Ruby On Rails XSS Vulnerability: Bitte updaten!
Seit gestern ist eine Schwachstelle in Ruby On Rails bekannt, die dem Angreifer über Cross-Site-Scripting (XSS) ermöglicht, HTML-Code in die betroffene Webseite bzw. Applikation zu integrieren. Betroffen sind alle Ruby On Rails Versionen ab 2.0.0. Nicht betroffen sind Applikationen, die unter Ruby Version 1.9 laufen. Aktuelle Patches, sowie Fixes für die Versionen 2.3.4 und 2.2.3 sind bereits veröffentlicht.
Die Schwachstelle befindet sich in den Escaping-Funktionen der Form-Helper. Der Angreifer kann durch manipulierte Unicode-Strings die Escaping-Prüfungen umgehen und so beliebiges HTML injecten.
An alle die Rails im Einsatz haben: Bitte umgehend updaten!
gem update
Brian Mastenbrook, der die Lücke entdeckt hat, hat eine Injection bei Twitter innerhalb 15 Minuten geschafft und sofort Twitter und 37signals (Bekannte Rails-Entwickler-Company rund um das Rails-Mastermind David Heinemeier Hansson) benachrichtigt. Wie Brian schreibt, hat 37signals weder einen Ansprechpartner für Sicherheit, noch angemessen auf seine Hinweise per Mail reagiert, was mich doch etwas enttäuscht. Erst eine Mail an das Security-Team von Ruby On Rails brachte den Stein ins Rollen.
Links:
- Offizielle Security-Meldung von RubyOnRails inkl. Patches und allen Infos
- Blog-Post von Brian Mastenbrook
- Update: Offizieller Blog-Post auf der Ruby On Rails Webseite
Hola! Ich bin Nico und du liest gerade meinen Blog über Webentwicklung, Webdesign, Linux und alles was mit dem Internet zu tun hat. Seit 1997 entwickle ich Websites und habe in dieser Zeit in den verschiedensten Bereichen gearbeitet. Ob nun Webdesign, Software-Entwicklung, Server-Administration, Marketing und SEO, alles macht Spaß und ergänzt sich wunderbar. Neben diesem Blog betreibe ich noch diverse andere Projekte wie zum Beispiel die