12.02.2013 18:00
Alert! Neues Sicherheits-Update für Ruby on Rails
Das Ruby-on-Rails-Team schließt weitere kritische Sicherheitslücken in dem populären Web-Application-Framework. Mit den Updates auf die Versionen 3.2.12, 3.1.11 und 2.3.17 wird die Sicherheitslücke mit der Bezeichnung CVE-2013-0276 geschlossen. Ebenfalls wird ein Fehler (CVE-2013-0277) in der Version 2.3.x behoben, der das Ausführen von Schadcode bei der Deserialisierung von YAML-Objekten ermöglichte. Zusätzlich weisen die Entwickler auf einen expliziten Fehler in dem Funktions-Paket (Gem) für JSON hin.
Im Detail wurde auf allen drei Versionszweigen ein Fehler der "attr_protect"-Methode von "ActiveRecord" behoben. Mit der Methode wird eine Blacklist gesetzt. Die umgekehrte Methode "attr_accessible" – welche eine Whitelist erzeugt – ist interessanterweise davon nicht betroffen. Die Möglichkeit einer Remote-Code-Execution durch eine Sicherheitslücke bei der Deserialisierung von YAML-Code ist in der Version 2.3.17 ebenfalls behoben. Versionen nach 3.1.x sind von diesem Fehler nicht betroffen. Laut dem Ruby-Sicherheitsexperten Aaron Patterson wurde YAML schon als Angriffsvektor für den erfolgreichen Hack der Rubygems.org verantwortlich gemacht.
Projekte mit dem JSON-Gem sind verwundbar für Denial-of-Service-Attacken. So nutzt beispielsweise das Social Network Diaspora dieses Gem. Der Fehler betrifft die Erzeugung von Ruby Symbolen. Durch die "JSON.parse()"-Methode können beliebige Symbol-Objekte erzeugt werden. Da diese Objekte nicht aus dem Speicher entfernt werden, sind Denial-of-Service-Attacken möglich. Zusätzlich sollen SQL-Injektion-Angriffe in OR-Mappern möglich sein. Das Gem sollte laut den Rails-Entwicklern schnellstmöglich nachgeladen und aktualisiert werden.
Seit Jahresbeginn sorgt das Framework immer wieder mit kritischen Sicherheitslücken für Schlagzeilen. Für eine Anfang Januar entdeckte Lücke kursierte kurz darauf ein Exploit. Zuletzt hatten die Entwickler eine sehr kritische Lücke in dem Web-Framework geschlossen, durch die ein Angreifer Code in den Server einschleusen kann.
(ogo)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
