Rails 存在安全问题：数月前发现的漏洞正被利用

Ruby-On-Rails 网站的用户和管理员发现他们正面临着恶意软件的攻击，该攻击利用了今年 1 月公布的一项 Ruby 安全漏洞。该漏洞一旦被利用，未打补丁的系统会直接从远程计算机上下载特定代码，编译一份 IRC 客户端，然后加入特定频道并等待下一步指令。松懈的安全策略暴露了出来，与此同时，这些攻击也尖锐地提醒了我们迅速部署补丁的重要性。

原始的漏洞是通过 CVE-2013-0156 宣布的，它位于 Ruby on Rails 的参数处理代码中。正如 Aaron Patterson 所指出的：

Ruby on Rails 的参数解析代码存在多个问题，致使攻击者可以绕开认证系统，注入任意 SQL，注入并执行任意代码，或是在 Rails 上执行拒绝服务攻击。

在宣布漏洞的同时，Patterson 也描述了如何获取 Rails 的补丁。然而事隔 4 个月之后，很多网站看来还没打上补丁，因此仍然容易受到攻击。很多受影响的用户因为系统被感染而表达了他们的失望。安全博主Jeff Jarmoc详细介绍了漏洞是如何被利用的，他还提供了源代码，用以演示被感染的系统是如何运行并通过IRC 接收指令的。

如果用户想看一下他们的服务器是否容易受到攻击，可以试一下Tinfoil Security 的 Railscheck 。 Code Climate Blog 解释了原始漏洞的工作原理，并为想了解更多细节的人提供了概念验证。

查看英文原文： Derailed: Hackers Exploit Months Old Rails Flaw