Na Ruby on Rails volgt weer een ander systeem
Het lek in Ruby on Rails is gevaarlijk voor alle systeembeheerders en webdevelopers die dit soort platformen van webapplicatie-ontwikkeling gebruiken. Maar het gaat verder dan dat. Waarschijnlijk zijn een heleboel internet en intranetsites onveilig op dit moment. Via die weg kan het misbruik van de kwetsbaarheden leiden tot het uitvoeren van willekeurige (Ruby-)code, het uitvoeren van willekeurige sql-queries, het manipuleren van sql-queries, het omzeilen van authenticatiesystemen en het uitvoeren van denial of service-aanvallen.
Dat betekent concreet dat je niet alleen de websites die dergelijke webplatform gebruiken onderuit kan halen, maar ook kan inloggen als iemand anders, gegevens kan wijzigen of vernietigen en gegevens kan stelen om uiteindelijk op het web zetten. Dit probleem had met andere woorden veel erger kunnen zijn als er niet direct gehandeld werd en de patches niet toegepast werden. Uiteindelijk treft het data van alle personen die via de Ruby on Rails-webapplicatie kan worden aangesproken.
Dus alles hangt af van de gegevens die via dit systeem bewerkt kunnen worden en dat zag er voor DigiD niet goed uit. Het feit dat Metasploit geüpdatet gaat worden, is een tweesnijdend zwaard. Zowel de good guys als de bad guys kunnen makkelijk uitvissen of websites kwetsbaar zijn of niet.
Ik herhaal mijn waarschuwing waar ik in 2010 al een paper over geschreven heb: 'Geen enkele data in de cloud is veilig en zal ook niet veilig zijn in de toekomst.' Gelukkig is er ook hier een oplossing, maar de volgende keer zal het weer een ander systeem zijn en zo blijven we doorgaan, spijtig genoeg.Eddy Willems
Security evangelist
G Data Software
17-05 De Red Diesel Blues
17-05 Efficiency en kostenbesparing dient de IT-mens
16-05 Groei IT-budgetten bij grote ondernemingen
15-05 Big data opvangen met open hybride cloud
14-05 Ontwerp websites en cloud moeten schaalbaar zijn
14-05 Noem man en paard bij cloud computing
13-05 BYOD onmogelijk door logge software
13-05 EPD/LSP definitief uit as herrezen?
08-05 Cloud aggregator krijgt rol in IT-markt
08-05 Zorg voor een doeltreffend Programma van Eisen
10-05 Novell Filr geeft mobiele toegang tot bestanden
24-04 Gemeente Neerijnen stapt over op LibreOffice
23-04 SkySQL fuseert met MariaDB-ontwerpers
22-04 Red Hat zet in op OpenStack enterprise
19-04 Paragon brengt de ExtFS voor Mac OS X 9.0
12-04 VX levert open source-module Reclassering op
11-04 Open source rammelt aan de Digipoort
03-04 IBM verbetert big data-platform voor Hadoop
27-03 Valori breidt uit met Test Tool Services
21-03 Viafrica zoekt mensen voor Tanzania en Kenia
|
|
24-01-13 ‘Maatwerksoftware deed DigiD de das om’
18-01-13 ‘Lek Ruby on Rails snel dicht door open source’
17-01-13 NCSC waarschuwt voor lek in Joomla add-on
17-01-13 ‘Ruby on Rails blijft zonder update risicovol’
17-01-13 Onverklaarbare platformkeuzes bij de overheid?
15-01-13 ‘Lek in Ruby on Rails heeft beperkte impact’
14-01-13 Ontwikkelen veilige software is complex
09-01-13 Lek in Ruby on Rails is griezelig
11-01-13 De voor- en nadelen van Ruby on Rails
15-01-13 Behandelen van parameters is complex
11-01-13 Top 3 gedupeerden door Ruby on Rails-lek
10-01-13 Lek in Ruby on Rails heeft veel kanten
10-01-13 Ruby on Rails-patch kan problemen opleveren
09-01-13 De gevaren door het Ruby on Rails-lek
11-01-13 ‘Dienst gebouwd op Ruby on Rails moet offline’
09-01-13 Logius haalt DigiD offline na lek in Ruby on Rails
Zorg en Zekerheid , Leiden
NIVEL , Utrecht
Itility , Son
Hays Amsterdam , Amsterdam
ReflexSystems , Almere
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 752 | 6.1 | |
 | 2 | 643 | 6.3 | |
 | 3 | 612 | 6.4 | |
 | 4 | 584 | 6.3 | |
 | 5 | 528 | 6.3 | |
 | 6 | 516 | 6.2 | |
 | 7 | 273 | 6.2 | |
 | 8 | 236 | 6.2 | |
 | 9 | 154 | 6.1 | |
| 10 | 122 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep