Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 104, views: 41.151 •

De overheid heeft het authenticatieplatform DigiD offline gehaald nadat er een beveiligingsprobleem in Ruby on Rails is ontdekt. Het zou gaan om een 'ernstig lek'. Het platform is waarschijnlijk donderdag pas weer online.

DigiD embleemOp zijn website geeft DigiD op dit moment enkel de mededeling weer dat de site 'op dit moment niet beschikbaar' is. Woordvoerder Michiel Groeneveld van Logius, de ict-organisatie van de overheid, bevestigt dat dat het gevolg is van een beveiligingsprobleem, zoals Nu.nl eerder ontdekte.

Het gaat om een ernstig beveiligingsprobleem: daarom is ervoor gekozen om het systeem offline te halen. "We wilden het zekere voor het onzekere nemen", aldus Groeneveld. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen." Het uitrollen van de patch moet wat Logius betreft zo zorgvuldig mogelijk gebeuren. "We willen niet met een patch een ander beveiligingsprobleem veroorzaken", aldus Groeneveld.

Dinsdagavond werd het beveiligingsprobleem bekend; woensdagmorgen was Logius op de hoogte en werd ervoor gekozen om het systeem offline te halen. Dat betekent dat DigiD vannacht dus kwetsbaar was. "Daar gaat wat tijd overheen. Je gaat ook niet zomaar DigiD uit de lucht halen." Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

Vorige week brachten de ontwikkelaars van Ruby on Rails ook al een beveiligingspatch uit naar aanleiding van een beveiligingsprobleem. Op Digid.nl is te lezen dat de dienst waarschijnlijk pas donderdagmorgen weer te gebruiken is.

Update, 15:27: Reactie Logius toegevoegd.

Reacties (104)

Reactiefilter:-1104096+162+214+33
Nee, gaat over dit probleem:

http://arstechnica.com/se...s-more-than-200000-sites/
"An attack can send a request to any Ruby on Rails sever and then execute arbitrary commands. Even though it's complex, it's reliable, so it will work 100 percent of the time."
Kan de overheid weinig aan doen dus, vrijwel alle sites die op Ruby draaien hebben hier last van.
Dit specifieke probleem is erg complex. Het kan ook enkel misbruikt worden door een serie van- en combinatie van zaken, te weten:

* Het betreft enkel JSON en XML input; niet de forms.
* De fout zit diep in de code op een tweetal plekken waar waardes in JSON en XML omgezet worden en dan doorgegeven worden naar de laag die deze waardes verwerkt in de SQL.

Jij doet het klinken alsof ze even in "contact.php" de $sql door mysql-escape moeten halen en dat het daarmee is opgelost. Het is heel wat complexer.

"Dit input [sic]" wordt in Rails al op diverse lagen gecontroleerd. De Sec-advisories bevatten naast gebruikelijke instructies om te upgraden en patches om snel fixes door te voeren, ook voorbeelden van code waarmee je de fout in je applicatie kunt onderdrukken.
Door configuratievlaggen te zetten, kun je de XML-parser instrueren bepaalde waardes niet door te laten; waardoor de vervalste XML-POSTS/PUTS e.d. niet verwerkt worden tot onveilige database-instructies. Of door de JSON te controleren alvorens hier waardes van in de ORM te gebruiken, kun je het ook onderdrukken.
In de meeste grote RoR applicaties betekent dit echter dat je op honderden plekken code moet gaan aanpassen.

Terwijl de patch en upgrade juist het exacte probleem verhelpt op het meest centrale punt waar de waardes doorheen komen.

Het enige wat je ervan kunt zeggen is dat Rails te complex is (geworden) waardoor dit soort zeer geavanceerde aanvallen tot SQL-injecties kunnen leiden. Dat Rails zoveel "magische" "blackboxes" heeft dat niemand écht een duidelijk overzicht heeft van wat in alle situaties precies gebeurd. Daar is dan weer tegenin te brengen dat een groot framework eigenlijk vanzelf complex wordt.

[Reactie gewijzigd door berkes op 9 januari 2013 17:48]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013