Artykuły dotyczące tematu: Ruby on Rails

dodany: 28.06.2013 | tagi: , , , , ,

Aktualizacja Ruby naprawia lukę MitM w obsłudze SSL

0

Implementacja OpenSSL w Ruby okazała się niebezpieczna. Dzięki znalezionej luce możliwe jest ominięcie sprawdzania hostname. Jeżeli w alternatywej nazwie X509 certyfikatu (thesubjectAltName) znajduje się znak pusty, przykładowo “ruby-lang.org\0example.com”, Ruby zinterpretuje to jako “ruby-lang.org”.

Luka zyskała oznaczenie CVE-2013-4073. Zalecana jest aktualizacja do najnowszych wersji poszczególnych gałęzi, tj. 1.8.7p374 (które naprawia także lukę DoS w REXML), 1.9.3p448 oraz 2.0.0p247.

dodany: 21.06.2013 | tagi: , , , ,

Niemiecka firma dostarczy aktualizacje dla Ruby on Rails 2.3

0

Jeżeli z jakiegoś powodu koniecznie chcesz używać Ruby on Rails 2.3, pomimo nadchodzącego wydania 4.0, powinieneś zainteresować się pewną niemiecką firmą. Makandra zamierza dostarczać aktualizacje bezpieczeństwa dla niewspieranego już RoR 2.3.x; poprawki od deweloperów frameworku otrzymują wyłącznie wersje od 3.2 w górę.

Jednocześnie autorzy RoR polecili płatne wsparcie Makandry. Firma oferuje 3 pakiety pod nazwą Rails Long Term Support. Przedstawiciel poinformował również, że nadal będą publikowane darmowe poprawki, ale nawet do 10 dni później. Jednocześnie, jeśli użytkownicy i klienci wykażą takie zainteresowanie, firma rozważy prace nad Rails 3.0 i 3.1.

dodany: 04.06.2013 | tagi: , ,

Luka w Ruby on Rails – zhakowane serwery tworzą botnet

0

Ofiarą ataków po raz kolejny pada framework Ruby on Rails. W wyniku znalezionej luki istnieje możliwość przejęcia kontroli nad serwerem – co też jest wykorzystywane w celu utworzenia botnetu. Uchybienie umożliwiające wstrzyknięcie kodu zostało załatane już w styczniu – tradycyjnie zawinił czynnik ludzki.

Utworzenie botnetu z podatnych maszyn wskazuje tylko na jedno – administratorzy nie zaktualizowali swoich serwerów po ponad 4 miesiącach od wydania aktualizacji. Zainfekowane serwery kontrolowane są za pośrednictwem IRC.

Bezpiecznymi wydaniami są 3.211, 3.1.10, 3.0.19, 2.3.15 oraz nowsze. Jeżeli z jakiegoś powodu nie można zainstalować nowych wersji, należy zastosować się do napisanej przez autorów RoR instrukcji. Więcej informacji o botnecie można znaleźć na blogu jarmoc.com.

dodany: 25.03.2013 | tagi: , ,

Nowa wersja GitLab 5.0 – alternatywy dla GitHub

0

Wczoraj ukazała się nowa wersja GitLaba, oprogramowania pozwalającego zarządzać repozytoriami Git, będącego alternatywą GitHuba na własne serwery. GitLab tworzony jest w oparciu o framework Ruby on Rails.

Najważniejsze zmiany w wydaniu oznaczonym 5.0 to zastąpienie backendu zarządzającego repozytoriami Gitolite własnym rozwiązaniem o nazwie Gitlab-shell. Dzięki temu, nie licząc oczywistych zależności jak Ruby i Git, GitLab działa w pełni niezależnie. Ponadto wewnętrzne wiki przechowywane są od teraz w repozytoriach Git. Wprowadzono także kilka poprawek zapobiegających użyciu XSS.

Pełna lista zmian znajduje się w repozytorium Git projektu.

dodany: 29.01.2013 | tagi: ,

Poważna luka w Ruby on Rails

0

Niedawno w tym miesiącu informowaliśmy o poważnej luce w frameworku Ruby on Rails – tym razem problem  dotyczy obejścia uwierzytelniania systemu, poprzez odpowiednio spreparowane pakiety SQL. W rezultacie ataku możliwe jest wykonanie dowolnego kodu, bądź też przeprowadzenie ataku DoS na aplikacji Rails.

Problem ten dotyczy wszystkich wersji o numerach 2.3.x i 3.0.x. Użytkownicy edycji  3.1.x i 3.2.x mogą spać póki co spokojnie. Na szczęście programiści szybko zareagowali na zgłoszenie i wydali poprawkę. Pozostałym polecamy aktaulizacje  3.0.20 i 2.3.16.

Szczegóły techniczne zostały omówione pod CVE-2013-0333. Luka wiąże się z parserem YAML, który można zaatakować poprzez odpowiednio spreparowany pakiet.
Ci, którzy nie mogą zastosować aktualizacji, mogą sobie pomóc obejściem w postaci przełączenia backendów z YAMLa na JSONGem. Aby to uczynić należy dodać następujący kod w inicjatorze aplikacji:

W sieci można już znaleźć gotowe łaty:

http://r.websecurity.pl/w

http://r.websecurity.pl/x

dodany: 03.01.2013 | tagi: , ,

Ruby on Rails może wykoleić wstrzyknięciem SQL

0

Znany framework do tworzenia aplikacji internetowych  Ruby on Rails  jest narażony na wykonanie wstrzyknięcia SQL. Problem dotyczy wszystkich wersji wydanych przed 2 stycznia tego roku. Zalecana jest jak najszybsza aktualizacja do najnowszych edycji 3.2.10, 3.1.9 i 3.0.18.

Opisywany problem został już zgłoszony pod  CVE-2012-5664. Usterka tkwi w wyszukiwaniu dynamicznym w polach ActiveRecord, gdzie parametr metody szukającej po modyfikacji może służyć do wstrzyknięcia dowolnego kodu SQL.

Znany scenariusz exploita, to zastosowanie metody find.by do określenia jakie pole powinno zostać odnalezione, np. :

Post.find_by_id(params[:id])

Oprócz tego wymagane jest posiadanie sekretnego tokenu sesji, chyba, że używamy zewnętrznego oprogramowania do autentykacji Authlogic, to pierwszy warunek nie musi być spełniony (przy czym błąd tkwi w złym wyzwoleniu zewnętrznej biblioteki przez Ruby on Rails).

W przypadku standardowej metody wyszukiwania ryzyko wstrzyknięcia nie występuje:

User.find(params[:id])

Co prawda problematyczna metoda wyszukiwania find_by nie jest używana przez większość programistów, ale i tak zalecana jestvaktualizacja, gdyż być może istnieje inny scenariusz niebezpieczeństwa, który nie został jeszcze opublikowany.

Dla tych użytkowników, którzy nie mogą dokonać aktualizacji przygotowano autorskie poprawki.