Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Ruby on Rails-patch kan problemen opleveren

 

Computable Expert

Rob van der Veer
Principal consultant, Software Improvement Group. Expert van Computable voor de topics Business Analytics, Development en Security.

De recent gevonden kwetsbaarheden in Ruby on Rails zijn zeer kritiek voor bijna alle webapplicaties die met dit populaire platform gebouwd zijn. Kwaadwillenden kunnen alles doen wat met programmeercode kan, zoals het sturen van e-mails naar alle gebruikers of het publiceren van alle persoonsgegevens of vertrouwelijke bedrijfsgegevens. Ze kunnen ook ongemerkt transacties laten uitvoeren door het systeem.

De kwetsbaarheden maken het mogelijk om Ruby-code en sql  uit te voeren in alle applicaties waarin ondersteuning voor xml-parameters niet uitgeschakeld is. Dit geldt voor de actuele versies 2.x en 3.x. De code om misbruik te maken van deze kwetsbaarheden is al op het internet te vinden. Beheerders dienen zo snel mogelijk de gepubliceerde patches toe te passen. De belangrijkste problemen kunnen al worden opgelost door xml-parameters uit te schakelen middels een eenvoudige aanpassing, uiteraard als je dergelijke parameters niet gebruikt.

Het probleem is dus niet zozeer de moeite van de maatregel, maar de snelheid waarmee webapplicatiebeheerders hiervan op de hoogte zijn. De Ruby on Rails-patch wordt niet automatisch uitgevoerd.

Helaas verandert één van de recente patches het gedrag van Ruby on Rails, waardoor na het patchen problemen kunnen ontstaan. Met andere woorden is het niet onverstandig eerst de website down te brengen, dan te patchen en te testen en dan pas weer live te gaan.

Voor Ruby on Rails is dit waarschijnlijk het ernstigste security issue ooit. Overigens is dit niet typisch voor Ruby on Rails, want dergelijke kwetsbaarheden zijn in het verleden ook opgetreden in bijvoorbeeld Java en PHP.

Rob van der Veer
Senior consultant
SIG

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4637290). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


Partnerinformatie
 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×