Importante Vulnerabilità in “Ruby on Rails”

Proto: N060319.

Con la presente Yoroi desidera informarLa relativamente ad una importante vulnerabilità recentemente scoperta all’interno di Ruby on Rails, diffuso framework per la realizzazione di applicazioni web moderne basate sul paradigma MVC, utilizzato da oltre un milione di siti web in tutto il mondo e più di tre mila in Italia. La criticità è nota con l’identificativo CVE-2019-5418.

La problematica è originata da lacune nella validazione di alcuni header di richieste HTTP all’interno del componente “Action View”, attraverso il quale un attaccante di rete non autenticato può essere in grado di accedere e scaricare a file arbitrari all’interno del server bersaglio.

Il Produttore ha confermato la criticità, la quale affligge tutte le versioni di Ruby on Rails, ed ha rilasciato le versioni 6.0.0.beta3, 5.2.2.1, 5.1.6.2, 5.0.7.2 e 4.2.11.1 in grado di risolvere la problematica. Gli aggiornamenti indicati sono inoltre in corso di recepimento anche da Vendor e Manutentori di sistemi operativi Linux-based, e.g. Red-Hat, Debian, SuSE, Canonical.

Per via della disponibilità di dettagli tecnici e della potenziale esposizione internet di servizi affetti, Yoroi suggerisce di controllare lo stato di aggiornamento per le eventuali installazioni Ruby on Rails presenti all’interno delle Vostre infrastrutture, di valutarne lo stato di esposizione e di pianificare l'applicazione delle patch disponibili.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index