09 Jan '13, 10am

Bug waardoor DigiD offline is gehaald is wel echt een dijk van een probleem. Sql-injectie, remode cote execution, DoS

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Zeer ernstige kwetsbaarheden verholpen in Ruby on Rails Advisory ID : NCSC-2013-0022 Versie : 1.00 Kans : high CVE ID : CVE-2013-0155, CVE-2013-0156 (http://cve.mitre.org/cve/) Schade : high Denial of Service (DoS) Omzeilen van authenticatie Omzeilen van beveiligingsmaatregel Remote code execution (Gebruikersrechten) SQL Injection Toegang tot gevoelige gegevens Toegang tot systeem gegevens Uitgiftedatum : 20130109 Toepassing : Ruby on Rails Versie(s) : < 3.2.11 < 3.1.10 < 3.0.19 < 2.3.15 Platform(s) : Platformonafhankelijk Samenvatting Er zijn nieuwe versies van Ruby on Rails uitgebracht voor twee zeer ernstige kwetsbaarheden in dit framework. Door de ernst van...

Full article: https://www.ncsc.nl/dienstverlening/response-op-dreiginge...

Tweets

DigiD offline door lek in Ruby on Rails

webwereld.nl 09 Jan '13, 12pm

DigiD is vandaag offline gehaald wegens een gat in ontwikkelaarsplatform Ruby on Rails. Via de kwetsbaarheid zijn applicat...

Logius haalt DigiD offline na lek in Ruby on Rails

computable.nl 09 Jan '13, 2pm

Logius haalt DigiD offline na lek in Ruby on Rails 09-01-2013 15:02 | Door Sander Hulsman | Lees meer artikelen over: Auth...

SQL-injectie dreigt door ernstig lek Ruby on Rails

webwereld.nl 04 Jan '13, 8am

Een ernstig lek bedreigt webapplicaties die in Ruby on Rails zijn ontworpen. Via de kwetsbaarheid, die zich in alle versie...