09 Jan '13, 4pm

Gefahr durch eingeschmuggelte Ruby on Rails-Objekte

Die Entwickler von Ruby on Rails fordern Nutzer zu einem schnellstmöglichen Update ihrer Rails-Installationen auf. Sie reagieren damit auf die Veröffentlichung von Sicherheitslücken in der Verarbeitung von XML-formatierten Parametern im Rails Framework. Ein Exploit wurde bisher noch nicht registriert, aber nach dem Bekanntwerden ist das nur noch eine Frage der Zeit. Betroffen sind alle Versionen von Rails; Updates sind für die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 verfügbar. Administratoren, die Rails nicht regelmäßig updaten können, sollen die XML-formatierten Parameter abschalten. Laut der Schwachstellenbeschreibung (CVE-2013-0156 ) liegt das Problem innerhalb des XML-Moduls, welches die Parameter verarbeitet. Rails kann nicht nur Parameter über GET und POST empfangen, sondern innerhalb eines POST-Requests auch speziell formatierte Daten. Dort kann man Ruby dazu br...

Full article: http://www.heise.de/security/meldung/Gefahr-durch-eingesc...

Tweets

Exploit für Ruby on Rails im Umlauf

heise.de 10 Jan '13, 3pm

Für die am Mittwoch gemeldete, kritische Lücke in Ruby on Rails kursieren erste Exploits; es treffen auch bereits erste Be...

Metasploit users - get the security update for ...

community.rapid7.com 09 Jan '13, 10am

was posted to the Ruby on Rails (RoR) security discussion list. The summary is that the XML processor in RoR can be tricke...

Rails

weblog.rubyonrails.org 08 Jan '13, 8pm

I'd like to announce that 3.2.11, 3.1.10, 3.0.19, and 2.3.15 have been released. These releases contain two extremely crit...

Passivhaus - via @casaworldcom

Passivhaus - via @casaworldcom

passivhaus.de 09 Jan '13, 6am

Das Passivhaus ist eine konsequente Weiterentwicklung des Niedrigenergiehauses und benötigt im Vergleich zu einem konventi...

New flaw in Ruby on Rails:

New flaw in Ruby on Rails:

infosecurity-magazine.com 09 Jan '13, 1pm

Earlier today the Internet Storm Center (ISC) reported , “A SQL Injection Flaw (CVE-2012-5664) was announced last week (Ja...

Ruby on Rails security updates address SQL inje...

csoonline.com 14 Jan '13, 5am

January 03, 2013 — IDG News Service — The developers of Ruby on Rails, a popular Web application development framework for...

Ruby on Rails security updates address SQL inje...

csoonline.com 13 Jan '13, 12am

January 03, 2013 — IDG News Service — The developers of Ruby on Rails, a popular Web application development framework for...

DigiD offline door lek in Ruby on Rails

webwereld.nl 09 Jan '13, 12pm

DigiD is vandaag offline gehaald wegens een gat in ontwikkelaarsplatform Ruby on Rails. Via de kwetsbaarheid zijn applicat...

Critical Ruby on Rails flaws fixed, upgrade imm...

net-security.org 09 Jan '13, 2pm

For the second week in a row since the start of the new year, users of open source web application framework Ruby on Rails...

Fast Rails updates through minimal dependencies:

Fast Rails updates through minimal dependencies:

fngtps.com 11 Jan '13, 11am

In response to the latest Ruby on Rails security announcement we upgraded all of our clients’ Rails projects in less than ...

Lücke in Ruby on Rails erlaubt SQL-Injections

heise.de 03 Jan '13, 1pm

Die Entwickler des freien Frameworks Ruby on Rails warnen vor einer Lücke in den Versionen 3.0, 3.1 und 3.2, durch die ein...

Ruby on Rails Releases 'Extremely Critical' Sec...

securityweek.com 09 Jan '13, 6pm

The latest versions, 3.2.11, 3.1.10, 3.0.19, and 2.3.15 have been updated with "two extremely critical security fixes" and...

Ruby on Rails に複数の脆弱性

jvn.jp 09 Jan '13, 3am

US-CERT Vulnerability Note VU#380039 Ruby on Rails contains multiple vulnerabilities in parameter parsing in the Action Pa...

ModSecurity Mitigations for Ruby on Rails XML Exploits

ModSecurity Mitigations for Ruby on Rails XML E...

blog.spiderlabs.com 10 Jan '13, 6pm

There is big trouble in Ruby on Rails (RoR) land... The issue is related to XML parsing of YAML document elements or Symbo...

Ruby on Rails patches more critical vulnerabili...

infoworld.com 09 Jan '13, 12pm

Those using the Ruby on Rails Web application framework on their websites are being advised to update the software immedia...