Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties, 30.755 views •

Op internet is een exploit verschenen voor een ernstig Ruby on Rails-lek dat afgelopen dinsdag aan het licht is gekomen. Het gaat om een van de twee beveiligingsproblemen die de Nederlandse overheid ertoe noopten om DigiD gedurende een dag offline te halen.

Ruby on RailsVoor een van de twee beveiligingsproblemen in het websiteframework Ruby on Rails die dinsdag aan het licht kwamen, en waarvoor de ontwikkelaars op dezelfde dag een patch uitbrachten, is een exploit verschenen. Dat schrijft Threatpost. Het gaat om de ernstigste van de twee lekken, die het een aanvaller onder meer mogelijk maken om de authenticatie te omzeilen, sql-queries te injecteren, op afstand eigen code uit te voeren en een applicatie op afstand offline te halen.

Het feit dat er nu een kant-en-klare exploit beschikbaar is, maakt het voor beheerders van Ruby on Rails-installaties nog harder nodig om te updaten: het beveiligingsprobleem is nu eenvoudig te misbruiken. Een exploit is bovendien ook opgenomen in Metasploit, een softwarepakket waarmee beveiligingsexperts de beveiliging van hun systemen kunnen testen, maar waarmee dus ook problemen in andermans systemen kunnen worden opgespoord.

Het beveiligingsprobleem in Ruby on Rails zorgde ervoor dat DigiD woensdag niet te gebruiken was. De Nederlandse overheid vond het beveiligingsprobleem zo ernstig, dat het authenticatieplatform offline werd gehaald. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen", zei een woordvoerder woensdag tegen Tweakers. Inmiddels is DigiD weer te gebruiken.

Reacties (29)

Reactiefilter:-129026+123+25+30
Moderatie-faq Wijzig weergave
Slecht beheerde systemen zijn misschien wel systemen waar iemand onbewust zijn persoonlijke gegevens achterlaat. Nadeel is dan dat je persoonsgegevens zo makkelijk op straat komen te liggen. Ik praat dan niet over DigiD maar bijvoorbeeld wel over webshops.
Ze hadden eigenlijk sneller moeten handelen. De aankonding op de rails security mailing list was dinsdagavond. Woensdagochtend ging DigiD op zwart.

[Reactie gewijzigd door Kanarie op 10 januari 2013 17:24]

Dat het al een tijd een probleem was heeft hij gewoon gelijk in, alle eerdere versies van rails waren kwetsbaar. Het is alleen deze week pas bekend geworden. Als een kwaatwillende hacker dit al een tijdje wist kon hij er al die tijd gewoon gebruik van maken.
ehm dit is vandaag al gefixed, toch?
Sure, maar nog lang niet alle sites ter wereld die kwetsbaar zijn hebben die fix gedraaid
ehm dit is vandaag al gefixed, toch?
Als het zo'n belangrijke website is dat die snel word getarget door hackers dan mag ik toch wel hopen dat er voor die systeembeheerder een vervanger is als die op vakantie is ;).
Ik noem dit dus het bewijs dat de overheid deze keer wl goed heeft gehandeld in tegenstelling tot eerdere lekken. Meteen offline halen en patchen die zooi en dat hebben ze ook gedaan. Compliment daarvoor.

Tegelijk natuurlijk kwalijk dat er zo snel na het lek al een exploit verschijnt! Je zal als systeembeheerder maar op vakantie zijn!
Jeps, ik heb idd ook heel makkelijk snel geupdate via capistrano. Ga de nieuwe railsversies toch maar een beetje bijhouden voortaan. :)

[Reactie gewijzigd door - peter - op 10 januari 2013 20:26]

En kwetsbaarheden voor Java zitten grotendeels ook in het Java framework, niet de programmeertaal.
En daarom is het dus belangrijk dat je je applicaties up to date houdt... Net als je updates voor je besturingssysteem moet installeren geld dat ook voor je eigen website. (Denk ook aan bijvoorbeeld wordpress en joomla, die moet je ook bijhouden. Als je nu een versie van 6 jaar geleden installeert ben je zomaar opeens een linksite naar porno....)

Ik was letterlijk in 1 minuut klaar om m'n web-appje te updaten. Nu was dat een heel eenvoudige, maar in principe is het niet meer dan 1 cijfer veranderen in de code en een 'cap deploy' in de shell.
Inderdaad prima gehandeld. Gelukkig maar
Ik vind het een zeer nette actie van digid met nog vers alle diginotar en andere lekken bij de overheid...

Het is al een zeer grote vooruitgang die ze op deze wijze boeken en dat mag best eens gezegt worden.
Als dat zo zou zijn, vind je dat niet bezwaarlijk voor een systeem als DigiD?
Maar heren, geef toe. De overheid heeft goed gehandeld. Mag ook wel eens gezegd worden.
@Wasp
Absoluut, ik vermoed dat de heren systeembeheerders achter DigID ook erg opgelucht zijn dat de dat systeem gisteren al gepatched hebben. Goed opgelost, kan er niets anders van maken :)

[Reactie gewijzigd door plankton123 op 10 januari 2013 17:36]

Wellicht komt dat doordat de meesten niet in de avond werken? Vind ik toch snel: een halve dag.
De kwetsbaarheid is inderdaad al lang aanwezig, maar Darkangle suggereert dat deze al langer bekend zou zijn dan de meldingen van eind december, waardoor de kant en klare exploit er 'nu al' zou zijn.

De exploit is dusdanig simpel dat het onnodig is om aan te nemen dat de makers hiervan langer de tijd hebben gehad.
Vanaf versie 2.0 (al een tijdje inderdaad maar niet alle eerdere versies)

er is een fix voor de versies vanaf 2.3.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True