Security Researcher deckte kritische Lücke in Ruby on Rails auf – Viele Webseiten betroffen

4. September 2009

in Twitter, web 2.0 Tools

Die Meldung ist noch ganz frisch: Brian Masterbrook, ein Security Researcher aus den USA, hat eine Sicherheitslücke im Web Application Framework Ruby on Rails gefunden.

bmastenbrook-twitter-status-update

Eine Menge Seiten im Netz basieren auf Rails und die entdeckte Sicherheitslücke, schien nahezu alle von diesen zu betreffen.

Twitter und 27signals in nur 15 Minuten geknackt

Wie Brian auf seinem Blog schreibt, hat er es in nur 15 Minuten geschafft, die Sicherheitslücke bei Twitter und den Seiten von 37signals.com auszuführen.

Er setzte sich daraufhin, mit den beiden Unternehmen in Kontakt, wobei Twitter nahezu sofort reagierte und den Fehler behob. 37signals hingegen stellte sich quer und zeigte sich wenig kooperativ.

Ausnahmsweise mal ein Lob: Internet Explorer 8

One surprise I discovered during the process was that IE8 includes a Cross Site Scripting filter which effectively blocked this attack. I’m very impressed with the effort that Microsoft’s taken to mitigate one of the most common web application security issues. Every other browser vendor needs to add this functionality yesterday.
Quelle

frei übersetzt

Eine Überraschung, die ich während des Prozesses entdeckte, war der IE8 Cross Site Scripting Filter, welcher effektiv die Attacke abfing. Ich bin sehr beeindruckt von von dem Einsatz, den Microsoft unternimmt ,um häufig vorkommende Sicherheitsrisiken bei web Anwendungen zu mildern. Jeder andere Browser-Anbieter sollte diese Funktionalität bereits gestern implementieren.

Anscheinend nimmt Microsoft auch bei der Entwicklung von ihrem Browser Sicherheitsaspekte sehr ernst und hat, anscheinend als einzige Browser zur Zeit, einen relativ effektiven Filter gegen XSS Attacken eingebaut.

Sicherheitslücke Ruby on Rails Team gemeldet und behoben

Mittlerweile hat Brian Mastenbrook die Sicherheitslücke auch dem Ruby Team gemeldet, welche die Ursache des Fehlers identifizieren und beheben konnten.

Web-Anwendungen können nun also Rails auf den neusten Stand bringen und sind so, zumindest gegen die hier entdeckte Sicherheitslücke, geschützt.

Etwas mehr Vorsicht mit web-Anwendungen

Anscheinend ist immer noch höchste Vorsicht bei der Nutzung von Web-Anwendungen geboten. Besonders wenn diese sensible Daten sichern oder verwalten. Welche Daten in der “Cloud” gespeichert werden sollen, muss wohl jeder für sich selbst herausfinden.

Vorheriger Beitrag:

Nächster Beitrag: