Rails: Schwachstelle korrigiert

Eine Sicherheitslücke in der Rails-Applikation hat zur Folge, dass ein entfernter Angreifer beliebige Attribute der Anwendung verändern kann.
Ursache dieser Schwachstelle ist ein Programmierfehler in der create_with()-Funktion, die für ActiveRecords zuständig ist. Hier werden die an die Funktion übergebenen Parameter nicht ordentlich kontrolliert. Dadurch kann ein entfernter Angreifer mit Hilfe spezieller Funktionsparameter die Attacke durchführen. Der Programmierfehler wurde in der kürzlich veröffentlichten neuen Rails Version korrigiert.
Betroffen sind die Versionen 4.x vor 4.0.9 und 4.1.5.

Nach oben