Brecha de segurança no Ruby on Rails

Via g1.globo.com,

O governo holandês tirou do ar um serviço on-line que realizava a identificação dos cidadãos para lidar com uma brecha grave que foi corrigida na tecnologia “Ruby on Rails”. O problema ficou desconhecido e aberto durante anos, sendo corrigido somente nesta terça-feira (8). Segundo os desenvolvedores, “todas” as versões do Ruby on Rails possuem a vulnerabilidade, o que significa que a falha existe há pelo menos cinco anos, podendo ter existido já na primeira versão do software, lançada em 2005.

A brecha existente na tecnologia permite a um invasor enviar dados especiais para uma página programada em Ruby on Rails para que ela interprete os dados como um documento YAML ou símbolo do Ruby, resultando em uma execução de código na página e levando à invasão do site.

A orientação para administradores de sistemas responsáveis por aplicações que fazem uso do Ruby on Rails é imediatamente instalar as atualizações disponibilizadas. As versões corrigidas são a 3.2.11, 3.1.10, 3.0.19, e a 2.3.15. Alguns desenvolvedores têm relatado problemas nas atualizações da versão 3, afirmando que elas causam erros nas funções de troca de dados via JSON.

Não há atualização para quem ainda utiliza a primeira versão do Ruby on Rails. A recomendação, nesses casos, é imediatamente realizar uma atualização para uma versão mais nova. O site do governo holandês “DigiD”, retirado do ar para aplicar as correções necessárias, deve retomar seu funcionamento normal na manhã de quinta-feira (10).