Nok en alvorlig sårbarhet i Ruby on Rails med modul i Metasploit. Mange Internett-enheter er sårbare for svakheter i UPNP-protokollen
Ny sårbarhet i Ruby on Rails
| Det er oppdaget en sårbarhet i JSON-koden i Ruby on Rails. Denne gjør det mulig å omgå autentisering, injisere fiendtlig kode eller å utføre DoS-angrep mot applikasjoner. Sårbarheten har allerede fått en modul i Metasploit-rammeverket. Dette er tredje gangen i den siste tiden at det har blitt oppdaget alvorlige svakheter i Ruby on Rails. |
||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater til siste versjon. | ||||
| Referanser | ||||
| https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/1h2DR63ViGo https://community.rapid7.com/community/metasploit/blog/2013/01/29/exploit-for-ruby-on-rails-cve-2013-0333 |
||||
Mange Internett-enheter sårbare for svakheter i UPNP-protokollen
| Firmaet Rapid 7 har scannet nettet for enheter med sårbare versjoner av UPNP (Universal Plug and Play). UPNP brukes av mange enheter for å sette opp forbindelser over nettet. Firmaet fant over 80 millioner enheter som svarte på UPNP og minst 50 millioner av disse hadde minst én svakhet. Sammen med rapporten har firmaet også sluppet en gratis scanner for å sjekke nettverk for de aktuelle svakhetene. |
||||
| Anbefaling | ||||
|---|---|---|---|---|
| Undersøk om organisasjonen eksponerer UPNP mot nettet og steng eventuelt dette. | ||||
| Referanser | ||||
| https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play http://arstechnica.com/security/2013/01/to-prevent-hacking-disable-universal-plug-and-play-now/ |
||||