Ruby on Rails: DoS Attacken durch Sicherheitslücke in REXML möglich

gullinews am Samstag, 23.08.2008 20:02 Uhr

Auf dem offiziellen Weblog von Ruby on Rails wurde heute bekannt gegeben, dass es eine kritische Sicherheitslücke gibt, die man schnell schließen sollte. Ein Fix wird auch angeboten. Es besteht die Gefahr einer Denial-of-Service Attacke. Das ist dahingehen interessant, da inzwischen viele Web-Applikationen das Webframework einsetzen.

Durch die Sicherheitslücke in dem REXML-Modul ist es möglich, eine Denial-of-Service Attacke durchzuführen. Größerer Schaden kann nicht entstehen.

Das REXML-Modul ist dafür zuständig, eingehende XML-Requests zu bearbeiten. Die "XML Entity Explosion" genannte Attacke bringt das Modul dazu, eine Datei zu parsen, die rekursiv eingebettete Einträge enthält und das Applikationsframework dann nicht mehr reagiert. Von der Schwachstelle sollen nicht nur Applikationen betroffen sein, die XML explizit nutzen, sondern prinzipiell alle Ruby on Rails Anwendungen.

Parallel ist ein Bugfix erschienen. Wie man den Bugfix anwendet kann man auf dem offiziellen Ruby on Rails Blog nachlesen. Mit dem nächsten Update von dem Rails-Framework soll der Fehler auch standardmäßig nicht mehr auftreten, da der Bugfix übernommen wird. (020200)

(via Ruby on Rails Blog)

7-Tage News • Newsarchiv • gulli twittert • Newsletter • RSS-Feed

0 Reaktionen aus dem gulli:Board
gullinews am 23.08.2008 20:00:54: Auf dem offiziellen Weblog von Ruby on Rails wurde heute bekannt gegeben, dass es eine kritische Sicherheitslücke gibt, die man schnell schließen sollte. Ein Fix wird auch angeboten. Es besteht die Gefahr einer Denial-of-Service Attacke. Das ist dahingehen interessant, da inzwischen viele Web-A...

Suche

gulli:IT-Glossar

The Onion Router (TOR)
SMB
Mac OS X
NTFS
Transfervolumen
Offline Reader
AdViews
TrueCrypt
Adresse
DivX