Ruby on Rails ist ein beliebtes Web Application Framework, das auf der Programmiersprache Ruby basiert. Eine Schwachstelle in Ruby on Rails hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann, die zum Absturz der Applikation führen.
Anfällig hierfür sind Installationen, die den Digest Authentication Support verwenden. Ruby-Code, der “with_http_digest”-Controller-Helper-Methoden verwendet, erlaubt die Attacke. Beispielsweise wäre Programmcode folgernder Bauart anfällig einen Angriff:
class MyController < ApplicationController def index authenticate_or_request_with_http_digest(REALM) do |uname| ... end end end
Der Programmierfehler befindet sich in der Implementierung von “authenticate_or_request_with_http_digest”.
Betroffen sind die Versionen 3.x.

