Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS

NCSC-2013-0022 [1.00] | NCSC

ncsc.nl 09 Jan '13, 10am

Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Zeer ernstige kwetsbaarheden verholpen in Ruby on Rails Advisory ID : NCSC-2013-0022 Versie : 1.00 Kans : high CVE ID : CVE-2013-0155, CVE-2013-0156 (http://cve.mitre.org/cve/) Schade : high Denial of Service (DoS) Omzeilen van authenticatie Omzeilen van beveiligingsmaatregel Remote code execution (Gebruikersrechten) SQL Injection Toegang tot gevoelige gegevens Toegang tot systeem gegevens Uitgiftedatum : 20130109 Toepassing : Ruby on Rails Versie(s) : < 3.2.11 < 3.1.10 < 3.0.19 < 2.3.15 Platform(s) : Platformonafhankelijk Samenvatting Er zijn nieuwe versies van Ruby on Rails uitgebracht voor twee zeer ernstige kwetsbaarheden in dit framework. Door de ernst van...

Full article: https://www.ncsc.nl/dienstverlening/response-op-dreiginge...

Tweets

@SebydeBV » 10 Jan '13, 10am
RT @ncsc_nl: Ernstige kwetsbaarheid in Ruby on Rails-framework voor webdiensten: [link] -Adequate actie @Nederland_ICT
@Unit10NL » 10 Jan '13, 8am
Ontwikkelaars: Ruby is even off-rails vanwege 'extremely critical' kwetsbaarheden, check @ncsc_nl advies [link] #RoR ontspoord
@Sincerusconsult » 09 Jan '13, 12pm
RT @PEEMWE: DigiD plat gelegd door lek in platform Ruby on Rails. Hier het NCSC advies. [link]
@PEEMWE » 09 Jan '13, 12pm
DigiD plat gelegd door lek in platform Ruby on Rails. Hier het NCSC advies. [link]
@MarcoPeters » 09 Jan '13, 12pm
RT @rachidfinge: Ruby Ruby Ruby Ruby! Lek in een web-framework met de naam Ruby on Rails is de reden dat DigiD offline is. Voor nerds: [link]
@rachidfinge » 09 Jan '13, 12pm
Ruby Ruby Ruby Ruby! Lek in een web-framework met de naam Ruby on Rails is de reden dat DigiD offline is. Voor nerds: [link]
@xbouwman » 09 Jan '13, 12pm
Reden offline halen DigiD --> RT @ncsc_nl: Ernstige kwetsbaarheid in Ruby on Rails-framework voor webdiensten: [link]
@GUnight » 09 Jan '13, 12pm
RT @Schellevis: Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS [link]
@wimberkhof » 09 Jan '13, 12pm
@wol Zal wel om deze #Ruby kwetsbaarheid gaan ? [link] @brenno @sidewalksuper #DigiD
@Cybercrime_IE » 09 Jan '13, 10am
Beveiligingsadvies: Zeer ernstige kwetsbaarheden verholpen in Ruby on Rails [link] #NCSC
@petrakramer » 09 Jan '13, 12pm
RT @Schellevis: Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS [link]
@JvdMeulen » 09 Jan '13, 12pm
RT @Schellevis: Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS [link]
@hoxha » 09 Jan '13, 12pm
RT @Schellevis: Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS [link]
@WillemienGroot » 09 Jan '13, 12pm
RT @Schellevis: Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS [link]
@kaatje36 » 09 Jan '13, 12pm
RT @Schellevis: Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS [link]

NCSC-2013-0022 [1.00] | NCSC

Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS

Tweets

DigiD offline door lek in Ruby on Rails

Logius haalt DigiD offline na lek in Ruby on Rails

SQL-injectie dreigt door ernstig lek Ruby on Rails