DiWiSH-Mitglied MARE system warnt: Rails-Applikationen leaken sensible Daten
Das Problem besteht in de Benutzung von RJS (Ruby JavaScript), wie die Blogposts unter [2] und [1] erklären. In einem weiteren Artikel [2] benennt Egor nun einige populäre Webseiten, die von dieser Lücke betroffen sind:
- Gitlab
- Basecamp
- Redmine
- Disapora
- Spree!
Im Zusammenhang mit der bereits im September gemeldeten Rails-Lücke [3] ist dieses Sicherheitsproblem äußerst ernst zu nehmen.
Der weitere Einsatz der RJS-Technik wird auf der Rails-Entwickler-Mailingliste diskutiert. [4]
- Do not use RJS-like techniques / Egor Homakov
- RJS leaking vulnerability in multiple Rails applications / Egor Homakov
- Security Bulletin 13.17 :: Lebenslänglich: Rails speichert SessionCookies ohne Verfallsdatum
- Remove :js responder / Diskussion auf der Rails-Dev-ML
Kontakt
MARE system
Web: www.mare-system.de