Ruby on Rails: DoS Attacken durch Sicherheitslücke in REXML möglich

Auf dem offiziellen Weblog von Ruby on Rails wurde heute bekannt gegeben, dass es eine kritische Sicherheitslücke gibt, die man schnell schließen sollte. Ein Fix wird auch angeboten. Es besteht die Gefahr einer Denial-of-Service Attacke. Das ist dahingehen interessant, da inzwischen viele Web-Applikationen das Webframework einsetzen.

Durch die Sicherheitslücke in dem REXML-Modul ist es möglich, eine Denial-of-Service Attacke durchzuführen. Größerer Schaden kann nicht entstehen.

Das REXML-Modul ist dafür zuständig, eingehende XML-Requests zu bearbeiten. Die "XML Entity Explosion" genannte Attacke bringt das Modul dazu, eine Datei zu parsen, die rekursiv eingebettete Einträge enthält und das Applikationsframework dann nicht mehr reagiert. Von der Schwachstelle sollen nicht nur Applikationen betroffen sein, die XML explizit nutzen, sondern prinzipiell alle Ruby on Rails Anwendungen.

Parallel ist ein Bugfix erschienen. Wie man den Bugfix anwendet kann man auf dem offiziellen Ruby on Rails Blog nachlesen. Mit dem nächsten Update von dem Rails-Framework soll der Fehler auch standardmäßig nicht mehr auftreten, da der Bugfix übernommen wird. (020200)

(via Ruby on Rails Blog)

News Redaktion am Samstag, 23.08.2008 20:02 Uhr

tags Tags: bugfix dos sicherheit rexml ruby on rails xml entity explosion

Weitere interessante News

0 Reaktionen zu dieser Nachricht

weitere Kommentare lesen Nachricht kommentieren

News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...