В среде Ruby on Rails обнаружена критически опасная уязвимость

В среде Ruby on Rails обнаружена критически опасная уязвимость

Из-за наличия бага под ударом оказываются в общей сложности более 240 000 серверов, включая машины, обслуживающие проекты Github, Hulu и Basecamp. По словам Бена Мерфи, одного из разработчиков Ruby on Rails, по умолчанию конфигурация Ruby on Rails предоставляет потенциальным взломщикам возможность получения несанкционированного доступа к базе данных, выполнения системных команд и удаления данных с сайтов.

Мерфи описывает обнаруженный баг как "ужасный". "Атака может отправлять любые запросы на любой сервер Ruby on Rails и затем исполнять любые системные команды в операционной системе. Сама по себе атака довольно сложна в реализации, но она гарантировано работает и доступна атакующему в любое время", - говорит Мерфи.

По его словам, при помощи данной атаки, потенциальные злоумышленники могут не только банально удалять данные с серверов, но и размещать вредоносные коды на популярных Ruby-сайтах. В компании Rapid7, разработчике популярного пентестера Metasploit, говорят, что уже добавили информацию о данной уязвимости в базу программы.

Впрочем, команда создателей Ruby on Rails заявляет, что новая версия продукта с исправленным кодом и настройками уже доступна пользователям. Разработчики рекомендуют как можно быстрее обновиться до версий 3.2.11, 3.1.10, 3.0.19 или 2.3.15. По словам создателей продукта, проблема заключается в особенности процесса форматирования и обработки входящих параметров в Ruby on Rails.

Для тех, кто не имеет возможности мгновенного обновления, разработчики рекомендуют отключить возможности обработки XML или запретить конверсию символов YAML и Symbol.

Подробная техническая информация доступна по адресу по ссылке.

Источник:
CyberSecurity.ru