Kritische Sicherheitslücken in Ruby gefährden Webserver

Die Programmiersprache Ruby ist gerade bei den so genannten Web-2.0-Auftritten in Mode. Allerdings ist sie derzeit von Schwachstellen geplagt, die es Angreifern erlauben könnten, Kontrolle über den Webserver einer Firma zu erhalten. Die Sicherheitslücken betreffen fast jede Ruby-basierte Applikation, sagte Thomas Ptacek, Gründer der Sicherheitsfirma Matasano. Betroffen sind die Versionen 1.8.4 und früher, 1.8.5-p230 und früher, 1.8.6-p229 und früher und 1.8.7-p21 und früher sowie 1.9.0-1 und früher.

Das Problem lasse sich mit dem Einspielen der bereitgestellten Patches beheben. Ptacek rät zu einem sofortigen Update. Ob Angreifer die Schwachstellen ausnutzen können, hänge ein bisschen von der verwendeten Applikation ab. Man solle allerdings ein Spiel mit dem Feuer vermeiden, mindestens drei dieser Schwachstellen seien relativ einfach auszunutzen. (jdo)