News RSS Feed

Denial-of-Service-Attacke für Rubys Hash-Algorithmus gefunden (CVE-2011-4815)

Wed, 04 Jan 2012 09:37:37 GMT

Auswirkung

Es handelt sich hierbei um etwas, das mit mathematischer Komplexität zu tun hat. Es wurden speziell angefertige Folgen von Strings gefunden, welche untereinander kollidierende Hashwerte besitzen. Mithilfe solcher Aneinanderreihnungen ist es einem Angreifer etwa mithilfe von POST-Parametern eines HTTP-Requests für eine Rails-Anwendung möglich, eine Denial-Of-Service-Attacke durchzuführen.

Detaillierte Beschreibung

Das Problem ist dem 2003 in Perl gefundenen ähnlich. In Rubys 1.8er-Serie benutzen wir eine deterministische Hash-Funktion für Strings, wobei »deterministisch« bedeutet, dass keine anderen Informationen in die Berechnung des Hashwerts einfließen als der Input-String selbst. Daher ist es möglich, den Hashwert eines Strings im Vorhinein zu berechnen. Sammelt man nun eine Folge von Strings, welche denselben Hashwert besitzen, ist es einem Angreifer möglich, einen Ruby-Prozess zahlreiche Hashtabellen kollidieren zu lassen (das schließt Instanzen der Klasse Hash mit ein). Die ungefähre Komplexität von Hashtabllen liegt bei O(1), hängt jedoch von der gleichmäßigen Verteilung der Hashwerte ab. Gibt man nun entsprechend angefertigten Input, ist es einem Angreifer möglich, die Hashtabellen wesentlich langsamer arbeiten zu lassen (genaugenommen O(n²), um eine n-elementige Tabelle in diesem Falle zu erstellen).

Betroffene Versionen

Ruby 1.8.7-p352 und alle vorangegangenen Versionen.
Alle Ruby-Versionen der 1.9er-Serie sind nicht von dieser Art von Attacke betroffen. Sie nutzen eine andere Hash-Implementation als Rubys 1.8er-Serie.

Lösung

Unsere Lösung is es, die Hashfunktion für Strings mit ein paar durch PRNG generierten Werten aufzulockern, sodass der Hashwert eines Strings nicht mehr länger deterministisch ist. Dies bedeutet, dass das Ergebnis von String#hash nur noch für die Laufzeit des aktuellen Prozesses konsistent ist und nach dem nächsten Start eine andere Zahl generieren wird. Will ein Angreifer dies umgehen, muss er eine Folge von Strings erstellen, die gegen diese Art von Scrambling immun sind, was generell für sehr schwierig gehalten wird.

Bitte aktualisieren Sie auf Ruby 1.8.7-p357.

Hinweise

Denken Sie bitte daran, dass diese Lösung nicht bedeutet, dass unser Hashalgorithmus kryptographisch sicher ist. Um es einfach auszudrücken: Wir haben die Hashtabelle gefixt, nicht aber die Schwäche in String#hash. Ein Angreifer wird immer noch Erfolg haben, wenn er/sie ein Paar von Strings und ihren von String#hash zurückgegebenen Wert bekommt. Daher sollten Ausgaben von String#hash nicht öffentlich werden. Wenn es wirklich sein muss, überlegen Sie, ob Sie nicht sichere Hash-Algorithmen verwenden wollen, von denen einige (wie z.B. SHA-256) auch in Rubys Standard Library enthalten sind.
Für diejenigen, die die alternativen Hash-Algorithmen in unserer Code-Basis kennen: Wir unterstützen sie nicht (sie sind auch standardmäßig deaktiviert). Wenn Sie einen von diesen wählen, nehmen wir an, dass Sie C lesen können und verstehen, was mit dem Standardalgorithmus falsch war. Stellen Sie sicher, dass Ihre Wahl sicher ist—auf ihr eigenes Risiko.

Dank

Dank geht an Alexander Klink und Julian Wälde, die dieses Problem gemeldet haben.

Nachtrag

CVE-2011-4815 befasst sich mit diesem Problem.
oCERT.org hat einen Ratschlag darüber veröffentlicht.
JRuby hat Version 1.6.5.1 veröffentlicht, um einen identischen Fehler zu korrigieren. Andere Ruby-Alternativen könnten ebenfalls betroffen sein.
Der Twitter-Account @hashDoS sammelt informationen über Hash-Kollisions-Attacken.

Ruby 1.9.3-p0 veröffentlicht

Mon, 31 Oct 2011 16:44:43 GMT

Ruby 1.9.3-p0 ist veröffentlicht worden.

Hierbei handelt es sich um die neueste stabile Version der 1.9er-Serie.

Für nähere Informationen siehe das Changelog sowie die NEWS.

Download

ruby-1.9.3-p0.tar.bz2

MD5-Summe

65401fb3194cdccd6c1175ab29b8fdb8

SHA256

ca8ba4e564fc5f98b210a5784e43dfffef9471222849e46f8e848b37e9f38acf

Größe

9.554.576 Byte

ruby-1.9.3-p0.tar.gz

MD5-Summe

8e2fef56185cfbaf29d0c8329fc77c05

SHA256

3b910042e3561f4296fd95d96bf30322e53eecf083992e5042a7680698cfa34e

Größe

12.223.217 Byte

ruby-1.9.3-p0.zip

MD5-Summe

437ac529a7872c8dcc956eab8e7e6f76

SHA256

1be16d0172e9cf9e5078a7bee2465a9f3af431920e1e3d9417a4fc2ee074bca4

Größe

13.691.314 Byte

Anstehende Ruby-Programmierwettbewerbe mit Matz - Großer Preis 1.000.000 ¥

Thu, 13 Oct 2011 19:37:50 GMT

Liebe Ruby-Enthusiasten,

Die Regierung von Fukuoka (Japan) zusammen mit Yukihiro “Matz” Matsumoto würden euch gern zu den folgend beschriebenen Ruby-Wettbewerben einladen. Wenn ihr ein interessantes Ruby-Programm entwickelt habt, fühlt euch zur Teilnahme ermutigt.

Silicon Valley Competition

3. November 2011 im Silicon Valley
Abgabe bis spätestens zum 17. Oktober 2011

Ausgewählte Gewinner werden ihre Ruby-Programme am 3. November 2011 vor Matz im Silicon Valley präsentieren (exakter Ort wird später bekanntgegeben). Matz wird, zusammen mit einer Reihe von Juroren, den Gewinner auswählen, welcher im März 2012 zur Preisverleihung nach Fukuoka (Japan) eingeladen werden wird (Hotel und Anflug werden bezahlt). Wenn ihr an der Silicon Valley Competition teilnehmt, werdet ihr ebenfalls automatisch für die weiter unten beschriebene Fukuoka Competition angemeldet.

Fukuoka Competition—Großer Preis: 1 Million Yen

März 2012 in Fukuoka (Japan)
Abgabe bis spätestens zum 15. November 2011

Ihr besucht enweder exklusiv die Fukuoka Competition oder die oben beschriebene Silicon Valley Competition und werdet automatisch für die Fukuoka Competition angemeldet. Matz und eine Gruppe Nebenjuroren werden die Gewinner der Fukuoka Competition auswählen; der Gewinner des Großen Preises wird im März 2012 zur Preisverleihung nach Fukuoka (Japan) eingeladen (Hotel und Anflug werden bezahlt). Der Große Preis der Fukuoka Competition ist eine Million Yen (ungefähr 9.500 €). Bisherige Gewinner des Großen Preises waren unter anderem Rhomobile (USA) und APEC Climate Center (Korea).

Für die Wettbewerbe eingeschickte Programme müssen nicht gänzlich in Ruby geschrieben sein, sollten aber Gebrauch von den einmaligen Charakteristiken Rubys machen. Ferner müssen, um zugelassen zu werden, diese Projekte innerhalb der letzen 12 Monate fertiggestellt oder zumindest entwickelt worden sein.

Besucht die folgend genannte Fukuoka-Website für mehr Informationen oder zur Teilnahme:

http://www.myfukuoka.com/events/2012-fukuoka-ruby-award-competition

Pläne für 1.8.7

Tue, 11 Oct 2011 11:11:06 GMT

Hallo und vielen Dank, dass Sie zu unserer Community gekommen sind.

Ich weiß, dass die meisten von euch mehr oder weniger die Ruby-Version 1.8.7 verwenden. Sie wurde 2008 veröffentlicht und war damals die beste Ruby-Version—ich bin stolz darauf, sagen zu können, dass es nicht mehr so ist. Rubys Kern-Entwickler haben aktiv an der neuen Version, 1.9, gearbeitet und sie sind kurz davor, 1.9.3 zu veröffentlichen. Ich selbst nutze 1.9 schon seit Jahren und ich kann nicht mehr in die Tage ohne es zurück. Viele Features. Schnelleres Ausführen. Rubygems integriert. Rails funktioniert problemlos. Ich kann nicht anders, als zu sagen, dass es absolut wundervoll ist. Alle: Bitte, benutzen Sie 1.9.

Gleichzeitig weiß ich freilich auch, dass Sie aus vielen verschiedenen Gründen nicht auf 1.9 wechseln können. Möglicherweise haben Sie bereits eine Anwendung mit 1.8.7 deployed. Vielleicht benutzen Sie eine Dritt-Library und diese ist nur für 1.8.7 geeignet. Oder Ihre Linux-Distribution unterstützt nur 1.8.7. Daher werde ich hiermit ankündigen, wie lange Sie es noch verwenden können. Es ist in Ordnung, wenn Sie heute 1.8.7 benutzen, aber in absehbarer Zeit wird die Entwicklung heruntergefahren werden.

Seien Sie bitte bereit.

Plan:

Wir werden weiterhin normale Maintenance für 1.8.7 anbieten, bis Juni 2012. Sie können ruhig annehmen, dass wir Bugfixes machen und keine Inkompatibilitäten einführen werden.
Danach werden wir keine Bugfixes mehr machen. Wir werden jedoch Sicherheitsprobleme bis Juni 2013 behandeln, nur für den Fall, dass Sie dann immer noch 1.8.7 benutzen.
Nach Juni 2013 werden wir 1.8.7 in keinster Weise mehr unterstützen.

[Anm. d. Übers. “Ich” bezieht sich in diesem Eintrag auf Urabe-san]

Ruby 1.9.3-rc1 veröffentlicht

Sat, 24 Sep 2011 10:18:41 GMT

Ruby 1.9.3-rc1 ist veröffentlicht worden.

Hierbei handelt es sich um den ersten Release Candidate von Ruby 1.9.3, der nächsten stabilen Version von Ruby.

Ruby 1.9.3 ist ein Release zur Verbesserung der Implementation; es ist zum größten Teil mit Ruby 1.9.2 backward-compatible, enthält aber auch einige neue Features, z.B. io/console.

Die Liste der Änderungen seit Ruby 1.9.2 kann in der Datei NEWS nachgelesen werden, der RC1 unterscheidet sich aber nicht wesentlich von 1.9.3-preview1. Er enthält aber zahlreiche Bugfixes, die im ChangeLog nachgelesen werden können.

Yugui wird Ruby 1.9.3 innerhalb der nächsten zwei Wochen freigeben, sofern keine schwerwiegenden Probleme gemeldet werden. Solltest du Probleme mit Ruby 1.9.3 haben, lass es uns wissen .

Download

ruby-1.9.3-rc1.tar.bz2

MD5-Summe

26f0dc51ad981e12c58b48380112fa4d

SHA256

951a8810086abca0e200f81767a518ee2730d6dc9b0cc2c7e3587dcfc3bf5fc8

Größe

9.552.727 Byte

ruby-1.9.3-rc1.tar.gz

MD5-Summe

46a2a481536ca0ca0b80ad2b091df68e

SHA256

bb1ae474d30e8681df89599520e766270c8e16450efdc01e099810f5e401eb94

Größe

12.224.459 Byte

ruby-1.9.3-rc1.zip

MD5-Summe

9c787f5e4963e54d1a11985a73467342

SHA256

8e9219b7e6f78a9e171740cbbb3787047383c281c290504dd0e4d8318607a74b

Größe

13.696.517 Byte

ConFoo 2012: Call for Papers eröffnet

Fri, 12 Aug 2011 14:08:58 GMT

Wir suchen die besten Speaker, die bereit sind, ihre Fähigkeiten und Erfahrungen mit Entwicklern und Managern zu teilen.

Die diesjährige ConFoo ist auf Software-Entwicklung, Projektverwaltung und Best Practices ausgerichtet.

Die technische Teil deckt verschiedene Aspekte der Webentwicklung ab, unter anderem: Ruby, PHP, Python, .NET, Java, Sicherheit, Content Management Systems, Frameworks, Datenbanken, Systemadministration, Webstandards, Mobile Development, Accessibility und Software-Architektur.

Die Teile Softwareverwaltung und Best Practices enthalten: Projektmanagement, Agile Methodology, Referencing (SEO), Internetmarkt-Analyse, soziale Netzwerke und Start-Ups.

Die Konferenz wird vom 29. Februar bis zum 2. März 2012 in Montreal im angesehenen Hilton-Bonaventure-Hotel stattfinden; zuvor wird ein mehrere Tage dauerndes Training durchgeführt.

Vortragsvorschläge müssen bis zum 2. September 2011 angekommen sein.

Vorschläge können auf ConFoo.ca eingereicht werden.

Ruby 1.9.3 Preview 1 veröffentlicht

Wed, 03 Aug 2011 18:14:45 GMT

Ruby 1.9.3-preview1 ist veröffentlicht worden.

Es handelt sich hierbei um eine erste Vorschau auf die neue Version und es gibt noch einige kleinere bekannte Probleme, die jedoch im nächsten Release, Ruby 1.9.3-p0, behoben werden.

Siehe das ChangeLog und die NEWS für weitere Informationen.

RubyInside hat eine Rezension über dieses Release geschrieben.

Unterschiede zur Vorversion

Vorangegangene Ruby-Versionen sind unter der GPLv2 und der Ruby-Lizenz veröffentlicht worden, die jetzt aber durch die “2-clause BSDL” (alias vereinfachte BSD-Lizenz, “Simplified BSD License”) ersetzt worden sind.

Encoding

SJIS ist jetzt ein Alias für Windows-31J anstatt für Shift_JIS.

Standard Library

io/console: Neue Fähigkeiten für IO-Instanzen
openssl
test/unit: Unterstüzt jetzt parallele Tests

Weitere Änderungen

Pathname und Date sind in der aktuellen Vorschau reimplementiert worden. VM-Locking ist geändert worden.

Download

ruby-1.9.3-preview1.tar.bz2

MD5-Summe

7d93dc773c5824f05c6e6630d8c4bf9b

SHA256

a15d7924d74a45ffe48d5421c5fc4ff83b7009676054fa5952b890711afef6fc

Größe

9.507.455 Byte

ruby-1.9.3-preview1.tar.gz

MD5-Summe

0f0220be4cc7c51a82c1bd8f6a0969f3

SHA256

75c2dd57cabd67d8078a61db4ae86b22dc6f262b84460e5b95a0d8a327b36642

Größe

12.186.410 Byte

ruby-1.9.3-preview1.zip

MD5-Summe

960e08b2dc866c9987f17d0480de63a1

SHA256

249483f88156b4ae65cd45742c6f6316660f793b78739657596c63b86f76aaeb

Größe

13.696.708 Byte

Ruby 1.9.2-p290 veröffentlicht

Fri, 15 Jul 2011 14:26:29 GMT

Ruby 1.9.2-p290 ist veröffentlicht worden.

Hierbei handelt es sich um Patchlevel-Release der 1.9.2er-Reihe. Es enthält keine sicherheitsrelevanten Korrekturen, dafür aber umso mehr Bugfixes.

Siehe das ChangeLog für weitere Informationen.

Download

ruby-1.9.2-p290.tar.bz2

MD5-Summe

096758c3e853b839dc980b183227b182

SHA256

403b3093fbe8a08dc69c269753b8c6e7bd8f87fb79a7dd7d676913efe7642487

Größe

8.811.237 Byte

ruby-1.9.2-p290.tar.gz

MD5-Summe

604da71839a6ae02b5b5b5e1b792d5eb

SHA256

1cc817575c4944d3d78959024320ed1d5b7c2b4931a855772dacad7c3f6ebd7e

Größe

11.182.217 Byte

ruby-1.9.2-p290.zip

MD5-Summe

6060b410aa15d09ac13b93033b8b5c66

SHA256

bce3d1c8c78fbafb6a0d67df2b8dec5322301f7b4b0f7594656ad689e9cb461d

Größe

12.600.100 Byte

Ruby 1.8.7-p352 veröffentlicht

Sat, 02 Jul 2011 12:32:37 GMT

Ruby 1.8.7-p352 ist veröffentlicht worden.

Ruby 1.8.7 wurde am 1. Juni 2008 veröffentlicht. Im Gedenken an den dritten Jahrestag von Ruby 1.8.7 haben wir heute ein neues Patchlevel-Release herausgegeben. Es enthält zahlreiche Bugfixes, genauere Informationen können dem ChangeLog entnommen werden.

Download

ruby-1.8.7-p352.tar.bz2

MD5-Summe

0c61ea41d1b1183b219b9afe97f18f52

SHA256

9df4e9108387f7d24a6ab8950984d0c0f8cdbc1dad63194e744f1a176d1c5576

Größe

4.207.576 Byte

ruby-1.8.7-p352.tar.gz

MD5-Summe

0c33f663a10a540ea65677bb755e57a7

SHA256

2325b9f9ab2af663469d057c6a1ef59d914a649808e9f6d1a4877c8973c2dad0

Größe

4.894.181 Byte

ruby-1.8.7-p352.zip

MD5-Summe

6f745837e50a86fe0c924dccfa65b4ec

SHA256

24fd9eb8734fd81a51806d16bf3a5624e87a58b877a9a9affb1f6c6158cad5c9

Größe

5.993.612 Byte

Vielen Dank für all die Anstrengungen, die ihr in diesen drei Jahren gemacht habt.

Germany.rb 2011 in Leipzig

Thu, 23 Jun 2011 14:28:39 GMT

Am 20. und 21. August 2011 findet im sublab in Leipzig zum zweiten Mal die Germany.rb statt. Eingeladen ist jede an Ruby Interessierte Person – vom Beginner bis zum Experten.

Germany.rb – zweite Iteration

Es handelt sich um eine Veranstaltung, welche 2010 zum ersten Mal von langjährigen Ruby Interessierten organisiert wurde. Bei der Agenda orientiert sich das Treffen an den ersten EuRuKo’s und bindet sich dadurch explizit nicht an eine statische Agenda. Statt dessen wird im Laufe des Treffens ein dynamischer Themenpool erstellt. Präsentationen, Lightning Talks oder Workshops werden sich daraus ergeben. Die Veranstaltung soll hauptsächlich den Teilnehmern die freie Möglichkeit bieten, Wissen zu teilen und neues Wissen zu erhalten.

Termin

Erster Tag am 20.08.2011 ab 12:00 Uhr (Einlass ab 10 Uhr)
Zweiter Tag am 21.08.2011 ab 10:00 Uhr (Einlass ab 9 Uhr)

Veranstaltungsort

Unser Treffen findet in Leipzig im sublab statt:

sublab e.V.
Karl-Heine-Straße 93
04229 Leipzig

Selbstdarstellung sublab.org

Das sublab bietet verschiedenen Leipziger Initiativen und Privatpersonen aus dem Technik/Netz-affinen Umfeld einen Ort, um gemeinsames, themenübergreifendes Arbeiten, Forschen und Spielen mit Technik zu ermöglichen. Dies wird erreicht durch die Kombination eines öffentlichen Raumes mit dem Angebot in sich geschlossener Arbeitsstätten. Ebenso ist eine breite Unterstützung verschiedener Zugänge zu Technik das erklärte Ziel des sublabs, sei dies nun Hardware, Hacking, Medienkunst oder Hacktivism.

Kosten

Wir erheben wie immer keine Teilnahmegebühr. Damit ist, abgesehen von eurer Anreise, Unterkunft und Verpflegung die Veranstaltung kostenlos. Sofern euch das Treffen jedoch gefallen hat, würde sich das sublab über eine kleine Spende freuen.

Germany.rb RC1

Das erste Treffen fand am 18. und 19. September 2010 statt. Einen Bericht und alle Videos finden sich auf der ruby-mine.

Weiteres

Die Planung zu diesem Treffen fand erneut im Ruby-Forum statt. Einige weiterführende Informationen (u.a. Unterkunftsmöglichkeiten, Plannung) gibt es im Ruby-Wiki. Bei Twitter verwenden wir den Hashtag #germanyrb und aktuelles wird über @germanyrb verbreitet.

Im Moment gehen wir davon aus, dass wir die Veranstaltung komplett in deutsch durchführen können. Sollte anderweitiger Bedarf von nicht deutschsprachigen Teilnehmern bestehen, werden wir improvisieren.