Fehler in Ruby on Rails ermöglicht Datenmanipulation Ihrer Web-Anwendungen

18. Oktober 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Das Framework Ruby on Rails, das in zahlreichen Web-Anwendungen zum Einsatz kommt, ermöglicht Angreifern durch eine Schwachstelle die Manipulation von Daten Ihrer Web-Anwendung.

Der Fehler entsteht in den betroffenen Versionen 3.0.0 und 2.3.9 bei der Verarbeitung verschachtelter Attribute mit accepts_nested_attributes_for. Versionen vor Ruby 2.3.9 enthalten den Fehler noch nicht. Auch wenn Sie accepts_nested_attributes_for nicht verenden, sind Ihre Web-Anwendungen nicht gefährdet.

Angreifern ermöglicht die Schwachstelle das Ändern der Parameternamen von Formularfeldern und das Ändern beliebiger System-Records. Als Betreiber von Web-Anwendungen auf Basis von Ruby on Rails sollten Sie Ihre Anwendungen vor der Schwachstelle schützen, indem Sie die neue Version 3.0.1 oder 2.3.10 von Ruby on Rails einspielen. Zurzeit werden diese noch nicht direkt zum Download angeboten, die Entwickler stellen jedoch bereits ein Patch bereit.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"