Exploit voor ernstig Ruby on Rails-lek beschikbaar
Op internet is een exploit verschenen voor een ernstig Ruby on Rails-lek dat afgelopen dinsdag aan het licht is gekomen. Het gaat om een van de twee beveiligingsproblemen die de Nederlandse overheid ertoe noopten om DigiD gedurende een dag offline te halen.
Voor een van de twee beveiligingsproblemen in het websiteframework Ruby on Rails die dinsdag aan het licht kwamen, en waarvoor de ontwikkelaars op dezelfde dag een patch uitbrachten, is een exploit verschenen. Dat schrijft Threatpost. Het gaat om de ernstigste van de twee lekken, die het een aanvaller onder meer mogelijk maken om de authenticatie te omzeilen, sql-queries te injecteren, op afstand eigen code uit te voeren en een applicatie op afstand offline te halen.
Het feit dat er nu een kant-en-klare exploit beschikbaar is, maakt het voor beheerders van Ruby on Rails-installaties nog harder nodig om te updaten: het beveiligingsprobleem is nu eenvoudig te misbruiken. Een exploit is bovendien ook opgenomen in Metasploit, een softwarepakket waarmee beveiligingsexperts de beveiliging van hun systemen kunnen testen, maar waarmee dus ook problemen in andermans systemen kunnen worden opgespoord.
Het beveiligingsprobleem in Ruby on Rails zorgde ervoor dat DigiD woensdag niet te gebruiken was. De Nederlandse overheid vond het beveiligingsprobleem zo ernstig, dat het authenticatieplatform offline werd gehaald. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen", zei een woordvoerder woensdag tegen Tweakers. Inmiddels is DigiD weer te gebruiken.
Reacties (29)
Sure, maar nog lang niet alle sites ter wereld die kwetsbaar zijn hebben die fix gedraaidehm dit is vandaag al gefixed, toch?
Tegelijk natuurlijk kwalijk dat er zo snel na het lek al een exploit verschijnt! Je zal als systeembeheerder maar op vakantie zijn!
.Belangrijk om te weten is dat de bug enkel via zogenaamde Dynamic finder (vb. find_by_foo(params[:foo])) methods misbruik kan maken. De normale finder methods (find([:param])) ondervind dus geen problemen.
En dan nog wat extra info voor diegenen die niets van rails kennen:
- It does not mean all unupgraded Rails apps are suddenly widely vulnerable.
- It does not mean Rails doesn’t escape SQL inputs.
- It does not mean Rails doesn’t provide parameterized SQL APIs.
- It does not mean Rails encourages code that are inherently prone to SQL injection. The code should be safe but due to a subtlety was not. This has been fixed.
Voor de professionals onder ons heb ik dit nog in petto.When we told people they should upgrade immediately we meant it. It *is* exploitable under some circumstances, so people should be upgrading immediately to avoid the risk.
Nee. Het gaat hier om een nieuwe vulnerability die op 8 januari is bekendgemaakt. Dit nieuwe lek is zeer gevaarlijk en maakt o.a. mogelijk om willekeurige Ruby code op betreffende server uit te voeren. Dat maakt het vervolgens mogelijk voor een aanvaller om zich shell-toegang te verschaffen.Belangrijk om te weten is dat de bug enkel via zogenaamde Dynamic finder (vb. find_by_foo(params[:foo])) methods misbruik kan maken. De normale finder methods (find([:param])) ondervind dus geen problemen.
Het probleem zit sinds 6 jaar in Rails. Alle versies sinds 6 jaar geleden zijn kwetsbaar. Alle applicaties die een Rails versie zonder update draaien zijn kwetsbaar. Het is een zeer ernstig probleem. En nu zijn er dus al exploits gepubliceerd. Deze kunnen geautomatiseerd en op grote schaal worden uitgevoerd.
[Reactie gewijzigd door molf op donderdag 10 januari 2013 18:39]
Ik was letterlijk in 1 minuut klaar om m'n web-appje te updaten. Nu was dat een heel eenvoudige, maar in principe is het niet meer dan 1 cijfer veranderen in de code en een 'cap deploy' in de shell.
[Reactie gewijzigd door - peter - op donderdag 10 januari 2013 20:26]
@WaspMaar heren, geef toe. De overheid heeft goed gehandeld. Mag ook wel eens gezegd worden.
Absoluut, ik vermoed dat de heren systeembeheerders achter DigID ook erg opgelucht zijn dat de dat systeem gisteren al gepatched hebben. Goed opgelost, kan er niets anders van maken
[Reactie gewijzigd door plankton123 op donderdag 10 januari 2013 17:36]
[Reactie gewijzigd door Kanarie op donderdag 10 januari 2013 17:24]
je gaat niet een cruciale overheids site op zwart gooien zonder alle aangesloten partijen (ministeries) te verwittigen en e.e.a. met ze af te stemmen. Kneejerk acties in de overheid zijn verre van gewenst. Als we altijd zo zouden reageren hadden we om de Hedwigepolder Belgie gebombardeerd.Ze hadden eigenlijk sneller moeten handelen. De aankonding op de rails security mailing list was dinsdagavond. Woensdagochtend ging DigiD op zwart.
Dit soort dingen doe je met beleid, niet adhoc. En tot je de stekker er uit trekt, hou je de boel scherp in de gaten om verdachte activiteit.
Het is al een zeer grote vooruitgang die ze op deze wijze boeken en dat mag best eens gezegt worden.
[Reactie gewijzigd door Kanarie op donderdag 10 januari 2013 16:59]
De exploit is dusdanig simpel dat het onnodig is om aan te nemen dat de makers hiervan langer de tijd hebben gehad.
er is een fix voor de versies vanaf 2.3.
http://www.insinuator.net/2013/01/rails-yaml/ (link gevonden)
Een kwestie van een XML naar de server sturen met een bepaalde payload.
Dat het lek behoorlijk wat publiciteit heeft gekregen zal ook wel geholpen hebben met de ontwikkeling van de exploit. Je kan willekeurige code uitvoeren, dus ook wel de moeite waard om dat te misbruiken voordat alles gepatched is.
edit: link opgezocht
[Reactie gewijzigd door Flight77 op donderdag 10 januari 2013 17:04]
Zie bijvoorbeeld deze reacties om een wat genuanceerder beeld te krijgen van deze beveiligingsproblemen:
berkes in 'nieuws: Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update'
NovapaX in 'nieuws: Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update'
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
