Overheid waarschuwt voor diverse lekken
Het Nationaal Cyber Security Center (NCSC) waarschuwt voor ernstige beveiligingslekken in Ruby on Rails en Joomla. Het lek in Ruby on Rails zorgde ervoor dat DigiD gisteren offline werd gehaald.
DigiD is gebouwd op Ruby on Rails, wat een opensource- webapplicatieframework is. Inmiddels is de authenticatiedienst van de overheid na ongeveer 10 uur weer online. Er zijn nieuwe versies van Ruby on Rails uitgebracht voor twee zeer ernstige kwetsbaarheden. Door de ernst van de kwetsbaarheden wordt gebruikers van Ruby on Rails aangeraden zo snel mogelijk maatregelen te treffen om misbruik hiervan te voorkomen.
In Joomla Content Editor bevindt zich een kwetsbaarheid waardoor een kwaadwillende ongeoorloofd bestanden naar de kwetsbare website kan uploaden. Hierdoor behoort het vervangen van bestaande webpagina’s door een willekeurige andere pagina (defacement) tot de mogelijkheid aldus het NCSC.