Ažuriranje Rubya prije nego što odustane od šipki

Koristite li Ruby na tračnicama? Ako je tako, vrijeme je za ažuriranje. Sada.

Ruby on Rails je open source web aplikacijski okvir izgrađen za korištenje s Ruby programskim jezikom. Ruby on Rails - ili samo Rails - daje web programerima mogućnost sakupljanja informacija s web poslužitelja ili upita baze podataka. Šine se upotrebljavaju u procijenjenoj četvrtini od milijun web-lokacija u rasponu od e-trgovine do pohrane u oblaku.

Šine sadrže ključne ranjivosti koje ciljaju napadači.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Ažurirajte Ruby kako biste uklonili iznimno kritične ranjivosti.

Lamar Bailey, direktor istraživanja i razvoja sigurnosti za nCircle, objasnio je, "Sve nepromijenjene verzije Ruby na šina sadrže kritične propuste koji uključuju parsiranje parametara i napadači mogu koristiti ove greške za izvršavanje koda ili pokretanje napada SQL injekcija."

Bailey je također istaknuo da su popularni alati automatizirali eksploatacije tako da je čak i lakše za napadače. Eksploatiraju se u divljini, a postoje i izvještaji o otetih web poslužitelja. Uspješno iskorištavanje može dopustiti napadačima da preuzmu web stranicu ili ukrade podatke o vrijednosti iz temeljnih baza podataka.

Ovo pitanje utječe na sve poslužitelje na kojima je XML parser aktivan - što je prema zadanim postavkama. Moguće je rješenje da jednostavno onemogućite XML parser, ali ako vaše aplikacije Rails trebaju obraditi XML ulaz, imat ćete problem. Postoji Rails sigurnosni savjetnik, koji dublje ulazi i objašnjava kako onemogućiti podršku YAML i Symbol koji su ključni element problema u XML parseru.

Bolje je rješenje ažurirati manjkaste šine. Dostupne su nove verzije šina koje zakrpe ove ranjivosti. Nova izdanja (3.2.11, 3.1.10, 3.0.19 i 2.3.15) sadrže dva ekstremno važna sigurnosna popravka. Sigurnosni stručnjaci traže administratorima da ažurirate Ruby on Rails prioritet.

Bailey kaže, "Ažuriraj [Rails] odmah, ako ne i prije."