News

SB 16.03 :: Rails Dynamic Render anfällig für Remote Code Execution (CVE-2016-0752)

2016.01.28

Sicherheitsforscher haben eine Analyse veröffentlicht, mit der bei einer kürzlich gefixten Lücke im Rails-Framework RCE und damit Vollzugriff auf den Server möglich ist.

Tl;dr: If your application uses dynamic render paths (eg: render params[:id]) then you are vulnerable to remote-code execution via local file inclusion. Update to the latest version of Rails, or refactor your controllers.

Der nVisium-Artikel beinhaltet einige Perlen und beschreibt im Detail, wie aus einer LFI-Lücke eine RCE-Lücke wird:

Our hacker instinct kicks in and we decide to pass in /etc/passwd as the template parameter, and confirm that we are actually able to read our passwd file. This is a huge concern.

Die Lücke wurde vor knapp einem Jahr, im Februar 2015 gemeldet, im Sommer 2015 bestätigt, aber erst jetzt gefixt.

Betroffene Versionen

Betroffene Versionen: Alle
Gefixte Versionen: 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1, 3.2.22.1

Mitigations

Patches stehen bereit

Eine aktuelle WAF wie z.B. Naxsi erkennt und blockt diese Angriffe.

rails-shell

Referenzen




You code … we platform.