Zelf ervaren

Beveiligingslek Ruby On Rails gedicht

9 januari 2013
Roelof Reitsma

Teamleider development

Roelof's avatar

Vandaag werden we op de hoogte gebracht van een ernstig beveiligingslek in het framework Ruby On Rails, waar Coconut op gebouwd is. Door dit beveiligingslek kregen hackers de mogelijkheid om de inhoud van databases te benaderen en te kopiëren, systeemopdrachten uit te voeren en websites uit te laten vallen. Meer informatie over het beveiligingslek kunt u op de website van de automatiseringgids vinden: http://www.automatiseringgids.nl/nieuws/2013/02/ruby-on-rails-maakt-honderdduizenden-sites-kwetsbaar

 

 

We hebben direct maatregelen genomen, waardoor het beveiligingslek gedicht is op alle Coconut omgevingen. Het lek betrof een fout in het verwerken van XML parameters in Ruby on Rails. Aangezien Coconut geen gebruik maakt van XML parameters, hebben we deze functionaliteit uitgeschakeld. Op dit moment onderzoeken we of op Coconut omgevingen misbruik is gemaakt van het beveiligingslek, maar tot nu toe hebben we daar (gelukkig) geen aanwijzingen voor gevonden.

 

Hoe gaan jullie om met security updates?

Wij vinden security enorm belangrijk. We besteden daarom veel tijd aan het veilig houden van gegevens in Coconut. Helaas komt het voor dat er security problemen optreden in Coconut of in applicaties waar Coconut gebruik van maakt. Om risico's te minimaliseren, werken we met de meest recente versies van die applicaties en updaten we onze servers op regelmatige basis.

 

Op het moment dat security updates beschikbaar komen, kunnen we in veel gevallen de updates toepassen zonder dat Coconut offline gehaald wordt. Als het niet mogelijk is om de update toe te passen zonder Coconut offline te halen, dan bekijken we of de update toegepast wordt tijdens het onderhoudswindow (iedere dinsdag tussen 18 en 19 uur) of dat we update direct toepassen. Als Coconut offline gehaald moet worden, dan nemen we uiteraard contact op met de klant. 

 

Heeft u nog vragen? Neem gerust contact met ons op.