Na Ruby on Rails volgt weer een ander systeem

14-01-2013 11:11 | Door Eddy Willems | Lees meer artikelen over: SQL, Patches, DigiD, Ruby (on Rails) | Er zijn nog geen reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Eddy Willems
Eddy Willems

Global Security Evangelist

Expert van Computable voor het topic Security

Meer

Het lek in Ruby on Rails is gevaarlijk voor alle systeembeheerders en webdevelopers die dit soort platformen van webapplicatie-ontwikkeling gebruiken. Maar het gaat verder dan dat. Waarschijnlijk zijn een heleboel internet en intranetsites onveilig op dit moment. Via die weg kan het misbruik van de kwetsbaarheden leiden tot het uitvoeren van willekeurige (Ruby-)code, het uitvoeren van willekeurige sql-queries, het manipuleren van sql-queries, het omzeilen van authenticatiesystemen en het uitvoeren van denial of service-aanvallen.

Dat betekent concreet dat je niet alleen de websites die dergelijke webplatform gebruiken onderuit kan halen, maar ook kan inloggen als iemand anders, gegevens kan wijzigen of vernietigen en gegevens kan stelen om uiteindelijk op het web zetten. Dit probleem had met andere woorden veel erger kunnen zijn als er niet direct gehandeld werd en de patches niet toegepast werden. Uiteindelijk treft het data van alle personen die via de Ruby on Rails-webapplicatie kan worden aangesproken.

Dus alles hangt af van de gegevens die via dit systeem bewerkt kunnen worden en dat zag er voor DigiD niet goed uit. Het feit dat Metasploit geüpdatet gaat worden, is een tweesnijdend zwaard. Zowel de good guys als de bad guys kunnen makkelijk uitvissen of websites kwetsbaar zijn of niet.

Ik herhaal mijn waarschuwing waar ik in 2010 al een paper over geschreven heb: 'Geen enkele data in de cloud is veilig en zal ook niet veilig zijn in de toekomst.' Gelukkig is er ook hier een oplossing, maar de volgende keer zal het weer een ander systeem zijn en zo blijven we doorgaan, spijtig genoeg.

Eddy Willems
Security evangelist
G Data Software

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

55 vacatures
UX Developer

Uniface , Amsterdam Zuidoost

Systemengineer security

Belastingdienst (via Belastingdienst) , Apeldoorn

B.A.M. Vermeer is op zoek naar een systeemontwikkelaar!

B.A.M. Vermeer Holding B.V. , Biezenmortel

Software Developer (40 uur)

Giscare Software Solutions , Harderwijk

Junior ICT Consultant

Capgemini , Utrecht

Top 10 reagerende bezoekers
   Aantal
reacties
Gemiddelde
waardering
Klik voor meer info1 1882 6,9
Klik voor meer info2 1423 6,6
Klik voor meer info3 1358 6,4
Klik voor meer info4 1163 6,6
Klik voor meer info5 1105 6,5
Klik voor meer info6 1038 5,9
Klik voor meer info7 845 6,7
Klik voor meer info8 637 5,9
Klik voor meer info9 509 6,3
Klik voor meer info10 437 5,9