Több százezer weboldal van veszélyben

Több biztonsági szakember is megerősítette az elmúlt napokban, hogy a népszerű, nyílt forrású keretrendszerben, a Ruby on Railsben kritikus sebezhetőségek találhatóak. A közlemények szerint az úgynevezett parsing kódban található a hiányosság, mely lehetővé teszi a támadóknak, hogy megkerüljék az autentikációs rendszert, majd rosszindulatú kódokat helyezzenek el és futtassanak az adott weboldal szerverein.

A tájékoztatók szerint a sebezhetőség a Rails összes, az elmúlt hat évben megjelent verzióját érinti. A hiba súlyát jelzi, hogy közel negyedmillió weboldal használja a keretrendszert, köztük olyan nagy, látogatott oldalak is, mint a Github és a Hulu. Mivel a behatolás után a rés lehetőséget ad a fertőzés terjesztésére is, szakértők, köztük a Metasploit fejlesztői már elkezdték feltárni, hogy mekkora mértékben használták ki a sérülékenységet, vagyis végigfésülik a weboldalakat.

A keretrendszer fejlesztői is reagáltak, és a bocsánatkérés mellett tájékoztatót és frissítéseket adtak ki, valamint kiemelten sürgetik az üzemeltetőket a – nemegyszer kissé körülményes – update végrehajtására.

Azóta történt

Előzmények