Обнаружена критическая уязвимость в среде Ruby on Rails


Ruby on RailsПосле обнаружения экстремально опасного бага в популярной среде Ruby on Rails под угрозой атаки оказалось несколько сотен тысяч сайтов. Уязвимость позволяет провести удаленную атаку по внедрению вредоносного кода на сайт-жертву и сервер, который его обслуживает. Уязвимость присутствует во всех версиях Ruby on Rails, выпущенных за последние шесть лет.

Из-за наличия бага под ударом оказываются в общей сложности более 240 тыс. серверов, включая машины, обслуживающие проекты Github, Hulu и Basecamp. По словам одного из разработчиков Ruby on Rails, конфигурация Ruby on Rails предоставляет потенциальным взломщикам:

  • возможность получения несанкционированного доступа к базе данных;
  • выполнения системных команд;
  • удаления данных с сайтов.


Атака может отправлять любые запросы на любой сервер Ruby on Rails и затем исполнять любые системные команды в операционной системе. Сама по себе атака довольно сложна в реализации, но она гарантировано работает и доступна атакующему в любое время.

При помощи данной атаки, потенциальные злоумышленники могут не только банально удалять данные с серверов, но и размещать вредоносные коды на популярных Ruby-сайтах. В компании Rapid7, разработчики популярного пентестера Metasploit уже добавили информацию о данной уязвимости в базу программы.

Команда создателей Ruby on Rails заявляет, что новая версия продукта с исправленным кодом и настройками уже доступна пользователям. Разработчики рекомендуют как можно быстрее обновиться до версий 3.2.11, 3.1.10, 3.0.19 или 2.3.15. По словам создателей продукта, проблема заключается в особенности процесса форматирования и обработки входящих параметров в Ruby on Rails.

Для тех, кто не имеет возможности мгновенного обновления, разработчики рекомендуют отключить возможности обработки XML или запретить конверсию символов YAML и Symbol.


Обновлено (13.01.2013 03:02)