Ruby on Rails maakt heel veel sites kwetsbaar

• 3.2.11
• 3.1.10
• 3.0.19
• 2.3.15

Uit deze versies is de beveiligingsfout verwijderd. Omschakeling is relatief eenvoudig voor de meeste websites, maar kan wat vertraging op de websites opleveren.

De fout zit in alle overige Ruby on Rails-versies die de afgelopen 6 jaar zijn uitgebracht. Het lek geeft hackers de mogelijkheid heel eenvoudig de inhoud van databases te benaderen en te kopiëren, systeemopdrachten uit te voeren en websites uit te laten vallen. Ruby on Rails wordt door veel belangrijke websites gebruikt waaronder Github, het pakhuis van opensourcesoftware, maar ook door streaming tv-en filmsite Hulu en door Basecamp, de online-leverancier van projectmanagementgereedschap.

Scanmodule in de maak

"Het is behoorlijk erg", constateert Ruby on Rails-ontwikkelaar Ben Murphy in een gesprek met Ars Technica. De hack is weliswaar complex om uit te voeren, maar werkt altijd. Volgens Murphy biedt het lek hackers ook de mogelijkheid vanuit één gehackte site andere kwetsbare sites op te zoeken en te infecteren zodat een soort worm ontstaat die door grote delen van het internet kan gaan. De ontwikkelaars werken aan een module die het internet kan scannen op kwetsbare Ruby on Rail-implementaties door gebruik te maken van deze extra mogelijkheid.

In een beveiligingsforum van Google geeft Aaron Patterson meer details over het probleem.