Eerste exploits voor Ruby on Rails verschijnen op internet

De eerste exploits die misbruik maken van een beveiligingslek in Ruby on Rails zijn online verschenen. De Nederlandse overheidsdienst DigiD is op het ontwikkelplatform gebouwd. DigiD is gisteren echter offline gehaald en voorzien van een update die het lek dicht.
Ruby on Rails
Ontwikkelaars publiceren vier proof-of-concept exploits online voor Ronin, een Ruby-platform voor onderzoek naar beveiliging en de ontwikkeling van exploits. De vier exploits bieden een hacker de mogelijkheid code, een SQL-injectie of een Denial of Service uit te voeren. Daarnaast kunnen aanvallers authentificatie omzeilen.
Snel updaten
De update voor het lek is sinds 8 januari beschikbaar. Het is daarom goed mogelijk dat niet alle diensten die zijn gebouwd op het Ruby-platform zijn voorzien van een update en dus kwetsbaar zijn voor de exploits. De Nederlandse overheidsdienst DigiD is niet langer kwetsbaar, aangezien de beheerder Logius de dienst gisteren zijn gepatcht. DigiD is hierdoor woensdag de gehele dag onbereikbaar geweest.