В среде Ruby on Rails обнаружена критически опасная уязвимость

09.01.2013 | 10:45
Несколько сотен тысяч сайтов оказались под угрозой атаки после обнаружения экстремально опасного бага в популярной среде Ruby on Rails. Уязвимость позволяет провести удаленную атаку по внедрению вредоносного кода на сайт-жертву и сервер, который его обслуживает. Специалисты по ИТ-безопасности говорят, что уязвимость присутствует во всех версиях Ruby on Rails, выпущенных за последние шесть лет.

Из-за наличия бага под ударом оказываются в общей сложности более 240 000 серверов, включая машины, обслуживающие проекты Github, Hulu и Basecamp. По словам Бена Мерфи, одного из разработчиков Ruby on Rails, по умолчанию конфигурация Ruby on Rails предоставляет потенциальным взломщикам возможность получения несанкционированного доступа к базе данных, выполнения системных команд и удаления данных с сайтов.

Мерфи описывает обнаруженный баг как "ужасный". "Атака может отправлять любые запросы на любой сервер Ruby on Rails и затем исполнять любые системные команды в операционной системе. Сама по себе атака довольно сложна в реализации, но она гарантировано работает и доступна атакующему в любое время", - говорит Мерфи.

По его словам, при помощи данной атаки, потенциальные злоумышленники могут не только банально удалять данные с серверов, но и размещать вредоносные коды на популярных Ruby-сайтах. В компании Rapid7, разработчике популярного пентестера Metasploit, говорят, что уже добавили информацию о данной уязвимости в базу программы.

Впрочем, команда создателей Ruby on Rails заявляет, что новая версия продукта с исправленным кодом и настройками уже доступна пользователям. Разработчики рекомендуют как можно быстрее обновиться до версий 3.2.11, 3.1.10, 3.0.19 или 2.3.15. По словам создателей продукта, проблема заключается в особенности процесса форматирования и обработки входящих параметров в Ruby on Rails.

Для тех, кто не имеет возможности мгновенного обновления, разработчики рекомендуют отключить возможности обработки XML или запретить конверсию символов YAML и Symbol.

Подробная техническая информация доступна по адресу https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion

Полезные ссылки: Полное восстановление данных с жесткого диска специалистами лаборатории "Хардмастер" в Москве выполняется в кратчайшие сроки на высоком профессиональном уровне.
Ruby on Rails, опасная уязвимость
По материалам CyberSecurity.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код