Am 8. Januar 2013 wurden mehrere kritische Sicherheitslücken in Ruby on Rails veröffentlicht. Die schwerwiegendste (CVE-2013-0156) ermöglicht die Ausführung von beliebigem Code auf dem Server.
Betroffene Versionen
Alle Versionen von Ruby on Rails sind betroffen:
- Rails 3.x
- Rails 2.x
- Auch ältere, nicht mehr unterstützte Versionen
Schwere der Lücke
Die Sicherheitslücke wird als äußerst kritisch eingestuft. Sie ermöglicht:
- Remote Code Execution (Ausführung von beliebigem Code)
- SQL Injection
- Denial of Service
Sofortmaßnahmen
Aktualisieren Sie Ruby on Rails umgehend auf eine der folgenden gepatchten Versionen:
- Rails 3.2.11
- Rails 3.1.10
- Rails 3.0.19
- Rails 2.3.15
Managed-Server-Kunden
Für Managed-Server-Kunden mit Rails-Anwendungen haben wir bereits Kontakt aufgenommen, um das Update zu koordinieren. Falls Sie noch keine Benachrichtigung erhalten haben, melden Sie sich bitte unter info@ingate.de.
