Ruby on Rails 攻击威胁服务器

Ruby on Rails 攻击威胁服务器

 

管理者们被激发去升级他们的Ruby on Rails，因为发现了一个活跃的恶意软件，目标是有漏洞缺陷的Web开发框架。

 

研究者Jeff Jarmoc表示攻击行为是在这周早些时候被发现的，现在认为部分禁用、掠夺Ruby on Rails有缺陷版本的漏洞，利用恶意软件来影响目标系统，试图建立IRC连接一个可能被指挥和控制的系统。

 

这种攻击会影响服务器，或者侵入更大的网络构成网络犯罪。

 

Jarmoc解释道：“功能性是有限的，但是包括可以下载可执行文件例如指令文件，就可以改变服务器。现在无发证明该性能，所以一个较强的个体加入到IRC服务并且出发适当的指令就可以相当容易的攻击这些bots。”

 

但是对于这些攻击所造成的危险，管理员是可以保护自己的，通过升级最新的Ruby on Rails。修复漏洞的补丁在今年年初的时候就可以下载了，并且Ruby on Rails服务运行是3.0.20和 2.3.16或更高的版本的话就会就受到攻击保护。

 

这个非常流行的web开发平台，Ruby on Rails并不会想那些主流平台像是Java那样的受到普遍的攻击。因为高风险是由成功的攻击所造成的，然而这个平台将会受到更多网络犯罪的关注。

 

高级安全顾问Chester Wisniewski表示高性能Linux服务器就足以吸引攻击者，甚至并不是那种大规模部署的系统。

 

广泛部署的软件系统像是Ruby on Rails随时都有漏洞，他需要几年时间让全世界的管理员抽出时间来升级补丁。

 

事实上，比Linux操作系统更遭的是那些被认为更安全不需要定期发布补丁的软件，像是Windows, Java, Flash和其他广泛应用的软件。

 

原文地址：http://www.v3.co.uk/v3-uk/news/2271353/ruby-on-rails-attacks-threaten-servers