Újabb problémát fedeztek fel a Ruby on Rails keretrendszerben - ezúttal egy szinte minden felhasználót érintő problémáról van szó, melynek kihasználásához nem szükséges a csillagok különös együttállása (vagy hanyag fejlesztői gyakorlat) így a frissítést ajánlott mihamarabb elvégezni.
A sérülékenység az Action Pack komponenst érinti, és alapvetően egyfajta nem-biztonságos deszerializációról van szó: az Rails képes XML illetve XML-be ágyazott YAML formátumú, felhasználótól érkező bemeneteket automatikusan Ruby objektumokká alakítani, ami egy igen hasznos szolgáltatás, a bökkenő azonban az, hogy ilyen módon tetszőleges szimbólum illetve objektum futásidőben módosíthatóvá válik. Az Insinuator elemzése egy olyan kihasználási vektort mutat, melyben a támadó a Rails által használt Arel SQL interfész objektumainak állapotát manipulálja közvetlenül, kikerülve ezzel a setter metódusok ellenőrzéseit, gyakorlatilag SQL injectiont hozva létre. Megjegyzendő ugyanakkor, hogy a hírek szerint a sérülékenység akár operációs rendszer szintű kódfuttatásra is lehetőséget adhat - ha ezzel kapcsolatban megjelennek részletek, frissítem a posztot.
Addig is frissítsetek, vagy legalább tiltsátok le az XML paraméterek feldolgozását!
Friss1 (jan 9. 10:43): Kicsivel részletesebb elemzés jelent meg a Rapid 7 jóvoltából, a Metasploit felhasználók pedig foltot kaptak.
Friss2 (jan 9. 17:48): Hollandia a bejlentés hatására inkább lekapcsolta Railsen futó kormányzati portálját.
Friss3 (jan 10. 15:52): A távoli kódfuttatásra alkalmas explit megérkezett Metasploitba. Aki érti, hogy működik, írjon kommentet!