28.1.2013 - Qualys poroča o ranljivosti v aplikacijskem ogrodju Ruby on Rails
Qualys, vodilni ponudnik kot storitev dostavljenih rešitev za upravljanje z IT varnostnimi tveganji in skladnostjo, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
je januarja 2013 na svojem blogu pripravil članek o ranljivosti (CVE-2013-0156) v popularnem aplikacijskem ogrodju Ruby on Rails, ki je med parsanjem XML parametrov občutljivo na zlorabe in lahko napadalcu omogoči celo izvajanje vrinjene programske kode na spletnem strežniku, ki gosti to okolje. Heker se lahko s pomočjo te ranljivosti izogne avtentikaciji, vrine sproži SQL povpraševanje ali programsko kodo, in tako ukrade podatke ali prevzame nadzor nad spletno aplikacijo. Na to ranljivost so občutljive vse spletne aplikacije izdelane v Rails okolju.
Exploit-i te ranljivosti so že javno dostopni in integrirani v ogrodja za preverjanje ranljivosti tipa Metasploit. Ker je ranljivost enostavno zlorabiti jo moramo obravnavati prioritetno. Organizacije, ki v svojem poslovnem okolju uporabljajo Ruby on Rails, lahko utrpijo veliko škode zaradi napada. Zato se jim priporoča, da preverijo tako svoje spletne strežnike kot tudi aplikacije partnerskih podjetij, ki jih morebiti koristijo na daljavo. Ena opcija je nadgradnja na najnovejšo različico Ruby on Rails 3.2.11, ki že vključuje ukrepe proti zlorabi omenjene pomanjkljivosti. Druga opcija (za lastnike starejših različic Ruby on Rails) je namestitev popravka. A pozor, nadgradnja lahko povzroči napake v delovanju aplikacij v okolju Ruby on Rails, zato je treba vnaprej preizkusiti ali bo čisto vse delovalo tako kot je treba.
Dobra ideja za podjetja odvisna od delovanja spletnih strešnikov je izvajanje storitve preizkusa ranljivosti. Qualys-ova rešitev za preverjanje varnostnih tveganj in ranljivosti v sistemih je zmožna zaznati tudi to ranljivost, prepozna jo kot QID 12639 - Ruby on Rails Action Pack Multiple Vulnerabilities. Qualys priporoča organizacijam, da preizkusijo svojo občutljivost navzven in tudi ranljivost vseh morebitnih internih spletnih strežnikov, tako bodo ugotovile ali in kako hitro je treba ukrepati.
Povezava do izvorne novice:
### ### ###
O Qualys.
Qualys je vodilni ponudnik kot storitev dostavljenih rešitev za upravljanje z IT varnostnimi tveganji in skladnostjo. Podjetje je zmožno zagotoviti postavitev servisne storitve (SaaS - Software-as-a-Service) v le nekaj urah kjerkoli v svetu, s tem lahko strankam omogočijo sproten in nenehen nadzor nad varnostjo in skladnostjo.
Qualys dobavlja rešitve za varnostno revizijo in upravljanje z ranljivostmi za organizacije vseh vrst in velikosti. Končni namen teh rešitev je zavarovati dragoceno poslovno platformo in ublažiti tveganja. Vodilna rešitev podjetja je QualysGuard, to je storitev za zaščito informacijskih omrežij, samodejno izvajanje varnostnih revizij in zagotavljanje podpore pri ohranjanju skladnosti. QualysGuard proaktivno in samodejno prepoznava varnostne ranljivosti, ugotovi na katera informacijska sredstva lahko vplivajo, in zagotavlja podporo pri celotnem postopku sanacije teh ranljivosti. Storitev QualysGuard uporablja več kot 3500 organizacij v 85 državah, vključno z štiridesetimi iz seznama Fortune Global 100; QualysGuard opravi več kot 200 milijonov IP revizij na leto (podatki so iz leta 2009). Qualys ima med vsemi ponudniki rešitev za upravljanje z ranljivostmi največji delež strank v seznamu Fortune Global 50.
Več o podjetju najdete na spletnih straneh: http://www.qualys.com/
Dodatne informacije:
Matic Knuplež, inženir IT varnosti
matic.knuplez@real-sec.com
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com