Ruby on Rails DoS Attacken durch Sicherheitslücke in REXML möglich

Auf dem offiziellen Weblog von Ruby on Rails wurde heute bekannt gegeben, dass es eine kritische Sicherheitslücke gibt, die man schnell schließen sollte. Ein Fix wird auch angeboten. Es besteht die Gefahr einer Denial-of-Service Attacke. Das ist dahingehen interessant, da inzwischen viele Web-Applikationen das Webframework einsetzen.

Durch die Sicherheitslücke in dem REXML-Modul ist es möglich, eine Denial-of-Service Attacke durchzuführen. Größerer Schaden kann nicht entstehen.

Das REXML-Modul ist dafür zuständig, eingehende XML-Requests zu bearbeiten. Die "XML Entity Explosion" genannte Attacke bringt das Modul dazu, eine Datei zu parsen, die rekursiv eingebettete Einträge enthält und das Applikationsframework dann nicht mehr reagiert. Von der Schwachstelle sollen nicht nur Applikationen betroffen sein, die XML explizit nutzen, sondern prinzipiell alle Ruby on Rails Anwendungen.

Parallel ist ein Bugfix erschienen. Wie man den Bugfix anwendet kann man auf dem offiziellen Ruby on Rails Blog nachlesen. Mit dem nächsten Update von dem Rails-Framework soll der Fehler auch standardmäßig nicht mehr auftreten, da der Bugfix übernommen wird. (020200)

(via Ruby on Rails Blog)

News

• Autor:
• Datum: 23.08.2008 - 19:00
• Alter: 316 Tage
• gulli News abonnieren?

Links

• genannte Attacke
• Ruby on Rails Blog nachlesen
• Ruby on Rails Blog

Trackbacks

• Bee-Industries Blog - REXML DDoS M�glichkeit mit Rails - 24.08.2008

  ... REXML, der Ruby basierende XML Parser, hat eine DDoS Schwachstelle. Das Dumme an der Geschichte ist, dass Rails den XML Parser abh�ngig vom Content-Type einsetzt bzw die Anfragen parst. Somit ist man, wenn man das Parsen vom Content-Type XML nicht ...

• » 1 Trackbacks   » Trackback URL dieses Artikels

• Kommentar schreiben