GitHub lukker Rails-hul

Artiklen blev oprindeligt publiceret den 7/3/2012

Udviklerwebstedet GitHub har lukket et sikkerhedshul. Tilsvarende huller kan findes i andre websteder, der er udviklet med Ruby-on-Rails.

Sårbarheden skyldes, at Ruby-on-Rails tillader såkaldt mass assignment. Det betyder, at et objekt på en gang kan få tildelt værdier til flere parametre, som fx hentes fra en URL. På den måde kan hackere tildele værdier, som der ellers ikke er direkte adgang til. Sårbarheden har været kendt i mange år.

Den russiske udvikler Egor Homakov opdagede, at GitHub var berørt af sårbarheden. Det demonstrerede han ved at udnytte den til at indsende en besked, der var dateret i år 3012 og kom fra robotten Bender kendt fra tegnefilmserien Futurama.

Da administratorer lukkede tråden, åbnede han den igen ved at tildele sig selv administratorprivilegier.

GitHub har nu lukket hullet. Først lukkede de også for Egor Homakovs konto, men han har siden fået adgang igen.

Sikkerhedsforsker Robert Graham skriver i et blogindlæg, at det er let at undgå sårbarheden. Man skal blot skrive en enkelt linje i Ruby-on-Rails. Men han venter ikke, at den bliver gjort til et krav fra udviklernes side. Det vil nemlig medføre, at mange eksisterende websteder bygget med Ruby-on-Rails holder op med at virke.

Ifølge et blogindlæg fra Josh Bush findes der en lignende sårbarhed i ASP.NET MVC.

Anbefaling
Administratorer af websteder bygget med Ruby-on-Rails bør tjekke, om webstedet tillader mass assignment.

Links