Sicherheitsupdates für Ruby on Rails

Das Entwickler-Team von Rails hat jetzt Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht. Die Updates mit den Versionsnummern 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View. Über diese Sicherheitslücke waren Angriffe möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Das wird immer dann zum Problem, wenn Programme Benutzereingaben ohne weitere Überprüfung übernehmen wie bei dem nach folgendem Beispiel aus dem Bericht zu der als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle: content_tag(:div, "hi", title: user_input.html_safe) Der Bericht weist auch darauf hin, dass einige der Helper-Funktionen wie beispielsweise sanitize Strings bei der Weitergabe als html_safe markieren und dadurch auch betroffen sind. Neben dieser Schwachstelle, die in allen Hauptversionen von 3 bis 5 zu finden sind, gibt es noch ein weiteres Problem, das nur die 4.2.x-Serie betrifft. Das ist zwar weniger kritisch, erlaubt aber das Ausführen einerIS NULL-Abfrage durch das Einfügen eines [nil]-Wertes innerhalb eines Requests. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer so keine beliebigen Werte in SQL-Abfragen einfügen, sondere nur nach NULL-Werten suchen oder WHERE-Bedingungen entfernen wollen und können. Deshalb raten die Entwickler dringend zur Aktualisierung von Ruby on Rails. Weiterführende Informationen und die Checksummen der Updates finden Sie in der offiziellen Bekanntmachung.

2016-08-12T11:22:09+02:00August 12th, 2016|Allgemein|Kommentare deaktiviert für Sicherheitsupdates für Ruby on Rails

Gleich zwei neue Releases von Symfony

Das  PHP-Framework Symfony, dessen Entwicklung vor ca. zehn Jahren im Rahmen der Begeisterung für Ruby on Rails startete, ist jetzt in gleich zwei neuen Releases veröffentlicht worden. Funktionell sind die beiden Versionen 2.8 und 3.0 komplett gleich. Das Release 3.0 wirft aber zusätzlich auch Altlasten über Bord und wird so einfach schneller. Wie Ruby baut auch Symfony auf die Model View Controller (MVC)-Architektur. Symfony wurde in PHP 5 geschrieben und wird zurzeit unter der Leitung von Fabien Potencier entwickelt und gepflegt, der jetzt im Blog die Veröffentlichung von Symfony 2.8 und 3.0 ankündigte. Neue Funktionen in Symfony Zu den neuen Funktionen der beiden Versionen 2.8 und 3.0 gehören eine neue LDAP-Komponente, die Änderung der Prioritäten von Event-Listenern und auch einige Security-Erweiterungen. Auch beim Debugging und Profiling hat sich einiges geändert. Die komplette Liste der Änderungen gegenüber Symfony 2.7 finden Sie in dem Blog-Beitrag, mit dem Potencier die Beta-Version von Symfony 2.8 ankündigte. Viele der Neuerungen in Symfony betreffen den Umgang mit Web-Formularen, zu denen es einen zusätzlichen Eintrag gibt. Die Rückwärtskompatibilität Das Programmier-Team hat jetzt auch einige der alten Funktionen für überholt erklärt (deprecated). In der Version 3.x wurden viele dieser veralteten Funktionen ausrangiert und dann die Minimalanforderung für PHP dementsprechend auf die Version 5.5.9 angehoben.  So erreicht man zwar eine bessere Leistung, allerdings müssen die Entwickler ihren Programmcode eventuell noch entsprechend anpassen. Die Version Symfony 2.8 bietet die neuen [...]

2015-12-02T07:16:01+02:00Dezember 2nd, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Gleich zwei neue Releases von Symfony

Ruby on Rails und die Cookies

Bei Zehntausenden von Internetseiten, die mit dem Web-Framework Ruby on Rails erstellt wurden, haben Angreifer über eine Sicherheitslücke durch Kopieren der Session-Cookies die Nutzerkonten übernommen. Darunter sind teilweise sehr bekannte Seiten wie Warner Bros., Kickstarter, Paper.li, Simfy, Ask.fm und Audioboo. Besonders einfach wird der Cookie-Klau, wenn der Angreifer im selben Netz ist wie das Opfer. Dummerweise können die Session-Daten beliebig lang genutzt werden, weil Rails die Cookies nicht ungültig macht. Das ist besonders dann sehr gefährlich, wenn die Seite ihre Authentifizierung nicht über eine sichere SSL-Verbindung  abwickelt. Zwar hat hat Rails die Version 4.0 der Komponente so umgestellt, dass die Cookies nur noch verschlüsselte Daten enthalten – das hilft aber nicht wirklich, weil sich Angreifer mit abgefangenen Cookies immer noch anmelden können. Wer Ruby-Seiten betreibt, sollte andere Möglichkeiten für Session-Cookies nutzen, beispielsweise durch eine Sessionverwaltung mit ActiveRecord::Store.

2013-11-29T17:47:08+02:00November 29th, 2013|Allgemein|Kommentare deaktiviert für Ruby on Rails und die Cookies
Nach oben