Het lek in Ruby on Rails is zo gevaarlijk dat securityexperts het ‘griezelig’ noemen. Ruby on Rails wordt wereldwijd gebruikt in een groot aantal websites. Naar schatting van trends.builtwith.com zijn er zo’n 240.000 websites die het gebruiken. Een groot aantal hiervan zal kwetsbaar zijn, al zal lang niet altijd de impact van zo’n kwetsbaarheid zo groot zijn als bij DigiD.
Als je met een browser een website bezoekt, geeft je browser informatie mee bij het verzoek de website te mogen ontvangen. Deze zogenaamde parameters kunnen bij Ruby on Rails in een algemeen formaat (xml) aangeleverd worden, waarbij een techniek gebruikt wordt die ‘serialisatie’ heet. Dit maakt dat complexe programmeerobjecten gewoon als eenvoudige xml van de browser naar de website ‘geschoten’ kunnen worden en daar ‘gedeserialiseerd’ worden en dan hun eigen leven gaan leiden.
Wie de opmaak van de website kent, kan zodanige objecten in xml coderen dat er kwaadaardige, maar geldige code op de website uitgevoerd kan worden of kwaadaardige, maar geldige instructies aan een onderliggende database kunnen worden gestuurd.
De beste oplossing is om meteen, en dat is een urgentie die zelden gegeven wordt, een verbeterde versie van Ruby on Rails te installeren met alle beheergevolgen van dien. Op zijn minst moet de mogelijkheid tot het doorgeven van xml-parameters geblokkeerd worden.
