De recent gevonden kwetsbaarheden in Ruby on Rails zijn zeer kritiek voor bijna alle webapplicaties die met dit populaire platform gebouwd zijn. Kwaadwillenden kunnen alles doen wat met programmeercode kan, zoals het sturen van e-mails naar alle gebruikers of het publiceren van alle persoonsgegevens of vertrouwelijke bedrijfsgegevens. Ze kunnen ook ongemerkt transacties laten uitvoeren door het systeem.
De kwetsbaarheden maken het mogelijk om Ruby-code en sql uit te voeren in alle applicaties waarin ondersteuning voor xml-parameters niet uitgeschakeld is. Dit geldt voor de actuele versies 2.x en 3.x. De code om misbruik te maken van deze kwetsbaarheden is al op het internet te vinden. Beheerders dienen zo snel mogelijk de gepubliceerde patches toe te passen. De belangrijkste problemen kunnen al worden opgelost door xml-parameters uit te schakelen middels een eenvoudige aanpassing, uiteraard als je dergelijke parameters niet gebruikt.
Het probleem is dus niet zozeer de moeite van de maatregel, maar de snelheid waarmee webapplicatiebeheerders hiervan op de hoogte zijn. De Ruby on Rails-patch wordt niet automatisch uitgevoerd.
Helaas verandert één van de recente patches het gedrag van Ruby on Rails, waardoor na het patchen problemen kunnen ontstaan. Met andere woorden is het niet onverstandig eerst de website down te brengen, dan te patchen en te testen en dan pas weer live te gaan.
Voor Ruby on Rails is dit waarschijnlijk het ernstigste security issue ooit. Overigens is dit niet typisch voor Ruby on Rails, want dergelijke kwetsbaarheden zijn in het verleden ook opgetreden in bijvoorbeeld Java en PHP.
Rob van der Veer
Senior consultant
SIG