Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
  • Nieuwsbrief

Ruby on Rails-patch kan problemen opleveren

14 januari 2013 - 15:01OpinieCloud & Infrastructuur
Rob van der Veer
Rob van der Veer

De recent gevonden kwetsbaarheden in Ruby on Rails zijn zeer kritiek voor bijna alle webapplicaties die met dit populaire platform gebouwd zijn. Kwaadwillenden kunnen alles doen wat met programmeercode kan, zoals het sturen van e-mails naar alle gebruikers of het publiceren van alle persoonsgegevens of vertrouwelijke bedrijfsgegevens. Ze kunnen ook ongemerkt transacties laten uitvoeren door het systeem.

De kwetsbaarheden maken het mogelijk om Ruby-code en sql  uit te voeren in alle applicaties waarin ondersteuning voor xml-parameters niet uitgeschakeld is. Dit geldt voor de actuele versies 2.x en 3.x. De code om misbruik te maken van deze kwetsbaarheden is al op het internet te vinden. Beheerders dienen zo snel mogelijk de gepubliceerde patches toe te passen. De belangrijkste problemen kunnen al worden opgelost door xml-parameters uit te schakelen middels een eenvoudige aanpassing, uiteraard als je dergelijke parameters niet gebruikt.

Het probleem is dus niet zozeer de moeite van de maatregel, maar de snelheid waarmee webapplicatiebeheerders hiervan op de hoogte zijn. De Ruby on Rails-patch wordt niet automatisch uitgevoerd.

Helaas verandert één van de recente patches het gedrag van Ruby on Rails, waardoor na het patchen problemen kunnen ontstaan. Met andere woorden is het niet onverstandig eerst de website down te brengen, dan te patchen en te testen en dan pas weer live te gaan.

Voor Ruby on Rails is dit waarschijnlijk het ernstigste security issue ooit. Overigens is dit niet typisch voor Ruby on Rails, want dergelijke kwetsbaarheden zijn in het verleden ook opgetreden in bijvoorbeeld Java en PHP.

Rob van der Veer
Senior consultant
SIG

Meer over

OpensourcePatchesPrivacyRuby (on Rails)SQL

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Virtualisatie heruitgevonden met VM’s en Containers

    15 redenen om bestaande virtuele machines te behouden en ruimte te creëren voor vernieuwing

    Computable.nl

    Slim verbonden en veilig georganiseerd

    Waarom connectiviteit en security onlosmakelijk verbonden zijn.

    Computable.nl

    Kies de juiste virtualisatie-aanpak

    Vergelijk drie krachtige open source-oplossingen: Proxmox, Kubernetes en OpenStack

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Teamvalue

    Partnerartikel
    Cloud & Infrastructuur

    20% besparen op je Azure-kosten en een...

    Azure biedt organisaties schaalbaarheid, flexibiliteit en toegang tot een breed scala aan diensten. Toch zien veel organisaties hun kosten ongemerkt...

    Meer persberichten

    Meer lezen

    Computable.nl
    Cloud & Infrastructuur

    ‘Dienst gebouwd op Ruby on Rails moet offline’

    hacker beveiliging security
    Cloud & Infrastructuur

    De gevaren door het Ruby on Rails-lek

    Computable.nl
    Cloud & Infrastructuur

    Logius haalt DigiD offline na lek in Ruby on Rails

    Computable.nl
    Cloud & Infrastructuur

    ‘Maatwerksoftware deed DigiD de das om’

    Computable.nl
    Cloud & Infrastructuur

    ‘Lek Ruby on Rails snel dicht door open source’

    Hacking
    Cloud & Infrastructuur

    NCSC waarschuwt voor lek in Joomla add-on

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs