Ruby on Rails: Denial-of-Service-Attacke

Ruby on Rails ist ein beliebtes Web Application Framework, das auf der Programmiersprache Ruby basiert. Eine Schwachstelle in Ruby on Rails hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann, die zum Absturz der Applikation führen.

Anfällig hierfür sind Installationen, die den Digest Authentication Support verwenden. Ruby-Code, der “with_http_digest”-Controller-Helper-Methoden verwendet, erlaubt die Attacke. Beispielsweise wäre Programmcode folgernder Bauart anfällig einen Angriff:

class MyController < ApplicationController def index authenticate_or_request_with_http_digest(REALM) do |uname| ... end end
end

Der Programmierfehler befindet sich in der Implementierung von “authenticate_or_request_with_http_digest”.

Betroffen sind die Versionen 3.x.

Nach oben