עדכן את רובי עכשיו לפני שהוא יוצא מהרכבות

Ruby on Rails הוא קוד פתוח יישום אינטרנט במסגרת בנוי לשימוש עם שפת התכנות Ruby. רובי און ריילס - או רק ריילס - מעניקה למפתחי האינטרנט את היכולת לאסוף מידע משרתי אינטרנט או לשאילתה למסד נתונים. Rails משמש ברחבי רבע משוער של מיליון אתרי אינטרנט החל מסחר אלקטרוני לאחסון ענן.

Rails מכיל פגיעויות קריטיות כי הם מכוונים על ידי התוקפים. הפגיעות של הקצאות המוניות היא המקבילה של SQL להזרקת SQL, וחושפת את Rails לניצול.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

עדכן את Ruby כעת כדי לתקן פגיעויות קריטיות ביותר. ביילי, מנהל מחקר ופיתוח אבטחה עבור nCircle, הסביר כי "כל הגירסאות הבלתי מסודרות של Ruby on Rails מכילות נקודות תורפה קריטיות הקשורות בפרסומות ותוקפים יכולים להשתמש באגים אלה כדי לבצע קוד או להפעיל התקפות הזרקת SQL."

ביילי גם ציין כי כלים פופולריים יש אוטומטיות מנצל כך שלו אפילו יותר קל עבור התוקפים. הניצולים מסתובבים בטבע, ויש דיווחים על שרתי אינטרנט שנחטפו. ניצול מוצלח יכול לאפשר לתוקפים להשתלט על אתר אינטרנט או לגנוב נתוני ערך ממאגרי הנתונים הבסיסיים.

הבעיה משפיעה על כל שרת שבו פועל מנתח ה- XML ​​- שהוא ברירת המחדל. פתרון אפשרי הוא פשוט להשבית את מנתח ה- XML, אבל אם יישומים Rails שלך צריך לעבד קלט XML אתה הולך להיות בעיה. יש ייעוץ אבטחה ריילס, אשר צולל עמוק יותר מסביר כיצד להשבית את תמיכת YAML ו Symbol כי הם עיקר הבעיה במנתח XML.

פתרון טוב יותר הוא לעדכן את Rails פגום. קיימות גרסאות חדשות של Rails אשר מתקנות את הפגיעויות. הגרסאות החדשות (3.2.11, 3.1.10, 3.0.19 ו- 2.3.15) מכילות שני תיקוני אבטחה קריטיים ביותר. מומחי אבטחה קוראים למנהלי IT לבצע עדכון של רובי און ריילס בראש סדר העדיפויות.

ביילי אומר, "עדכן את [Rails] באופן מיידי, אם לא מוקדם יותר."