SQL-injectie dreigt door ernstig lek Ruby on Rails

Een lek in Ruby on Rails maakt webapplicaties die in RoR zijn gebouwd kwetsbaar voor SQL-inejctie. Applicatiebouwers wordt geadviseerd zo snel mogelijk te upgraden naar een veiligere versie.


Een ernstig lek bedreigt webapplicaties die in Ruby on Rails zijn ontworpen. Via de kwetsbaarheid, die zich in alle versies bevindt, kunnen aanvallers een sql-injectie uitvoeren op webapplicaties die in RoR zijn geschreven.

De makers hebben inmiddels versies 3.2.10, 3.1.9 en 3.0.18 aangepakt en raden webontwikkelaars aan onmiddellijk te upgraden van oudere versies naar een van de gedichte varianten. Hongli Lai, oprichter van Phusion - dat RoR-producten uitgeeft - stelt dat het gat niet zo groot is als het lijkt, onder meer omdat lang niet alle applicaties kunnen worden ge´njecteerd.

Workaround beschikbaar

Niettemin zijn diverse applicaties die in RoR zijn gebouwd vatbaar voor sql-injectie. RoR wordt breed gebruikt door webdevelopers, zo werken Twitter en Groupon met het framework. De kwetsbaarheid zit in de queryinterface Active Record waardoor aanvallers sql-statements kunnen injecteren in databases om er informatie uit te trekken.

Voor oudere versies hebben de makers van RoR een workaround gepubliceerd. Applicatiebouwers kunnen handmatig een parameter aanpassen of door een patch toe te passen voor RoR-versies 2.3, 3.0., 3.1 of 3.2.