Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Lek in Ruby on Rails is griezelig

 

Computable Expert

Lex Borger
Principal Consultant, I-to-I. Expert van Computable voor het topic Security.

Het lek in Ruby on Rails is zo gevaarlijk dat securityexperts het ‘griezelig’ noemen. Ruby on Rails wordt wereldwijd gebruikt in een groot aantal websites. Naar schatting van trends.builtwith.com zijn er zo’n 240.000 websites die het gebruiken. Een groot aantal hiervan zal kwetsbaar zijn, al zal lang niet altijd de impact van zo’n kwetsbaarheid zo groot zijn als bij DigiD.

Als je met een browser een website bezoekt, geeft je browser informatie mee bij het verzoek de website te mogen ontvangen. Deze zogenaamde parameters kunnen bij Ruby on Rails in een algemeen formaat (xml) aangeleverd worden, waarbij een techniek gebruikt wordt die ‘serialisatie’ heet. Dit maakt dat complexe programmeerobjecten gewoon als eenvoudige xml van de browser naar de website ‘geschoten’ kunnen worden en daar ‘gedeserialiseerd’ worden en dan hun eigen leven gaan leiden.

Wie de opmaak van de website kent, kan zodanige objecten in xml coderen dat er kwaadaardige, maar geldige code op de website uitgevoerd kan worden of kwaadaardige, maar geldige instructies aan een onderliggende database kunnen worden gestuurd.

De beste oplossing is om meteen, en dat is een urgentie die zelden gegeven wordt, een verbeterde versie van Ruby on Rails te installeren met alle beheergevolgen van dien. Op zijn minst moet de mogelijkheid tot het doorgeven van xml-parameters geblokkeerd worden.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4637756). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×