Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/4/2012
Udviklingsværktøjet Ruby on Rails har ændret en indstilling, så nye projekter som udgangspunkt bliver bedre sikret.Ændringen betyder, at det som standard ikke længere er muligt at sætte indholdet af alle variabler i et hug. Den metode har angribere hidtil kunnet benytte til at ændre på websteders indhold ved at ændre på variabler, som udvikleren ikke havde forudset, de ville få adgang til. Metoden kaldes mass assignment.
Angrebsmetoden blev demonstreret af en sikkerhedsforsker i starten af marts, hvor han udnyttede sårbarheden på webstedet GitHub. Webstedet lukkede hullet, men det fandtes fortsat i Ruby on Rails, som GitHub er udviklet i.
Sårbarheden findes stadig, men nu skal udviklere selv aktivt vælge at slå den til. Det gælder for Ruby on Rails 3.2.3.
Rettelsen virker kun på nye Rails-projekter. Gamle projekter skal gennemgås manuelt for sårbarheden.
Anbefaling
Udviklere der anvender Ruby on Rails skal sikre, at de ikke anvender mass assignment.