Super GAU bei RoR?
zumindest klang es zunächst danach:
Rails 1.1.5: Mandatory security patch (and more)
...
This is a MANDATORY upgrade for anyone not running on a very recent edge (which isn’t affected by this). If you have a public Rails site, you MUST upgrade to Rails 1.1.5. The security issue is severe and you do not want to be caught unpatched.
...
UPDATE: This problem affects 0.13, 0.14, 1.0, and 1.1.x. So here’s a happy opportunity to upgrade if you still haven’t.
Es wird im Artikel dann noch paar mal ausdrücklich wiederholt, dass wirklich jeder upgraden muss, und dass das sofort erfolgen zu hat.
Vor allem aber war anfänglich eben davon die Rede dass auch User von schon älteren Installation pre1.0 auf 1.1.5 updaten müssen. Ein Schritt der normalerweise gut geplant (und getestet) sein will, und der auch ein gewisses Code-Refactoring erfordert. Ich vermute da wurden mal paar Urlaube von RoR-Developern unsanft unterbrochen.
Hier ein Kommentar dazu:
What exactly is the vulnerability and what is the impact (I would look at dev.rubyonrails.org but it is down with too much traffic). We are launching a very large rails site in one week and are currently locked at 1.1.2. It is going to be very difficult to convince management and the testing team to upgrade the production environment this late in the game. Has mongrel and all the rails engines been tested against 1.1.5? What about all the gems? These types of news releases really show the immaturity of rails.
Sicherlich keine angenehmen Stunden für das Ruby-On-Rails Team gerade.
Mittlerweile dürfte sich die Situation entschärft haben, denn man hat entdeckt dass nur die Versionen 1.1.0, 1.1.1, 1.1.2 und 1.1.4 betroffen sind. Und für diese aktuellen Installationen sollte es sowieso weniger schwieriger sein den kleinen Versionssprung mitzumachen.
Bin schon gespannt worin die Sicherheitslücke denn genau bestand. Aus solchen Fehlern (wie z.b. auch vom seinerzeitigen myspace wurm) kann man viel lernen. Derzeit versucht man aber die Hintergründe zu verschleiern.
Nachtrag: Hier gibts schon die passende Erklärung der Sicherheitslücke.
Nachtrag 2: Hier gibts die tatsächliche Erklärung zur Sicherheitslücke:
With Rails 1.1.0 through 1.1.5 (minus the short-lived 1.1.3), you can trigger the evaluation of Ruby code through the URL because of a bug in the routing code of Rails.
"eval is evil", i guess.
Rails 1.1.5: Mandatory security patch (and more)
...
This is a MANDATORY upgrade for anyone not running on a very recent edge (which isn’t affected by this). If you have a public Rails site, you MUST upgrade to Rails 1.1.5. The security issue is severe and you do not want to be caught unpatched.
...
UPDATE: This problem affects 0.13, 0.14, 1.0, and 1.1.x. So here’s a happy opportunity to upgrade if you still haven’t.
Es wird im Artikel dann noch paar mal ausdrücklich wiederholt, dass wirklich jeder upgraden muss, und dass das sofort erfolgen zu hat.
Vor allem aber war anfänglich eben davon die Rede dass auch User von schon älteren Installation pre1.0 auf 1.1.5 updaten müssen. Ein Schritt der normalerweise gut geplant (und getestet) sein will, und der auch ein gewisses Code-Refactoring erfordert. Ich vermute da wurden mal paar Urlaube von RoR-Developern unsanft unterbrochen.
Hier ein Kommentar dazu:
What exactly is the vulnerability and what is the impact (I would look at dev.rubyonrails.org but it is down with too much traffic). We are launching a very large rails site in one week and are currently locked at 1.1.2. It is going to be very difficult to convince management and the testing team to upgrade the production environment this late in the game. Has mongrel and all the rails engines been tested against 1.1.5? What about all the gems? These types of news releases really show the immaturity of rails.
Sicherlich keine angenehmen Stunden für das Ruby-On-Rails Team gerade.
Mittlerweile dürfte sich die Situation entschärft haben, denn man hat entdeckt dass nur die Versionen 1.1.0, 1.1.1, 1.1.2 und 1.1.4 betroffen sind. Und für diese aktuellen Installationen sollte es sowieso weniger schwieriger sein den kleinen Versionssprung mitzumachen.
Bin schon gespannt worin die Sicherheitslücke denn genau bestand. Aus solchen Fehlern (wie z.b. auch vom seinerzeitigen myspace wurm) kann man viel lernen. Derzeit versucht man aber die Hintergründe zu verschleiern.
Nachtrag: Hier gibts schon die passende Erklärung der Sicherheitslücke.
Nachtrag 2: Hier gibts die tatsächliche Erklärung zur Sicherheitslücke:
With Rails 1.1.0 through 1.1.5 (minus the short-lived 1.1.3), you can trigger the evaluation of Ruby code through the URL because of a bug in the routing code of Rails.
"eval is evil", i guess.
michi - 10.Aug 2006 09:48 - technisches
Michi a.k.a. 'Michael Platzer' is one of the 
