zurück zum Artikel

Diebe stehlen Bitcoins per Rails-Exploit

Christian Kirsch

Der vor zwei Tagen bekanntgewordenen Exploit für eine Sicherheitslücke in Ruby on Rails wurde jetzt genutzt, um bei Vircurex und Cryptostocks Bitcoin-Guthaben in unbekannter Höhe zu stehlen.

Kurz nachdem ein Exploit [1] für eine Lücke im freien Web-Framework Ruby on Rails (RoR) bekanntgeworden [2] war, haben Unbekannte ihn ausgenutzt, um Bitcoin-Guthaben in nicht genannter Höhe von Vircurex [3] und der Crowd-Sourcing-Plattform Cryptostocks [4] zu stehlen [5]. Deren Betreiber wollen den Schaden aus eigener Tasche ersetzen [6].

Bei dem Angriff sei weder das System geknackt noch Passwörter entwendet worden, heißt es in einem knappen Beitrag [7] im Bitcoin-Forum. Inzwischen sollen die meisten Bitcoin-Dienste der betroffenen Server wieder funktionieren.

Die RoR-Lücke ermöglichte es, Code einzuschleusen und auf dem Server mit den Rechten der angegriffenen Rails-Anwendung auszuführen. Ursache für den Fehler ist die Methode, wie Rails Anwenderdaten entgegennimmt: Angreifer müssen nur passende Daten etwa per POST-Request an eine Anwendung schicken, um ihn auszunutzen. Betroffen sind alle RoR-Umgebungen, bei denen der XML-Parser aktiv ist. Dies ist die Standardeinstellung.

Bereits vorgestern haben die RoR-Entwickler die korrigierten Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 bereitgestellt [8]. Administratoren, die Rails nicht regelmäßig updaten können, sollen XML-formatierte Parameter abschalten, empfehlen sie. (ck [9])

URL dieses Artikels:
https://www.heise.de/-1782688

Links in diesem Artikel:
[1] https://www.heise.de/news/Exploit-fuer-Ruby-on-Rails-im-Umlauf-1780936.html
[2] https://www.heise.de/news/Gefahr-durch-eingeschmuggelte-Ruby-on-Rails-Objekte-1780281.html
[3] https://vircurex.com/
[4] https://cryptostocks.com/
[5] https://bitcointalk.org/index.php?PHPSESSID=b12bdec43d85a77bfcda8cfdce5caa84&topic=135919.msg1447856#msg1447856
[6] https://bitcointalk.org/index.php?PHPSESSID=b12bdec43d85a77bfcda8cfdce5caa84&topic=135919.msg1448056#msg1448056
[7] https://bitcointalk.org/index.php?PHPSESSID=b12bdec43d85a77bfcda8cfdce5caa84&topic=135919.msg1447973#msg1447973
[8] http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/
[9] mailto:ck@ix.de

Copyright © 2013 Heise Medien