Dernière minute
DEUSA beenden Angriffe gegen Iran – Teheran droht mit VergeltungKR교원 3단체, 교육교부금 개편 논의 중단 촉구… "재정 축소 명분 안 돼"ARالكويت: انقطاع الكهرباء في مناطق متفرقة.. والسعودية تدين استهداف ناقلات النفط في مضيق هرمزRUIran Vows Response to US Aggression Over Strait of HormuzKRPower outage causes major delays on Seoul Subway Line 1CN三星量產最新企業級SSD PM1763,搭載於輝達平台鎖定AI資料中心CNAnthropic Claude Cowork 擴展至手機與網頁版KRMajor Korean labor union plans general strike next weekARارتفاع أسعار النفط وسط تصاعد التوترات في الشرق الأوسط وبيانات تجارية أميركيةRUЦены на аренду квартир в Бейруте выросли на 20-30% из-за конфликта с ИзраилемDEUSA beenden Angriffe gegen Iran – Teheran droht mit VergeltungKR교원 3단체, 교육교부금 개편 논의 중단 촉구… "재정 축소 명분 안 돼"ARالكويت: انقطاع الكهرباء في مناطق متفرقة.. والسعودية تدين استهداف ناقلات النفط في مضيق هرمزRUIran Vows Response to US Aggression Over Strait of HormuzKRPower outage causes major delays on Seoul Subway Line 1CN三星量產最新企業級SSD PM1763,搭載於輝達平台鎖定AI資料中心CNAnthropic Claude Cowork 擴展至手機與網頁版KRMajor Korean labor union plans general strike next weekARارتفاع أسعار النفط وسط تصاعد التوترات في الشرق الأوسط وبيانات تجارية أميركيةRUЦены на аренду квартир в Бейруте выросли на 20-30% из-за конфликта с Израилем
Newsgather
BackKritische Sicherheitslücke in Ruby-Template-Bibliothek ERB (CVE-2026-41316)
Kritische Sicherheitslücke in Ruby-Template-Bibliothek ERB (CVE-2026-41316)
Urgent
Heise Online23.04.2026Tech5 dk okumaGermany

Kritische Sicherheitslücke in Ruby-Template-Bibliothek ERB (CVE-2026-41316)

Schwachstelle ermöglicht Remote Code Execution durch Umgehung von Deserialisierungsschutz

L'essentiel

  • Eine Schwachstelle in der Ruby-Bibliothek ERB (CVE-2026-41316) hebelt den Schutz gegen schädliche Deserialisierung aus.
  • Angreifer können dies bei betroffenen Rails-Anwendungen für Remote Code Execution nutzen, sofern weitere Fehlkonfigurationen vorliegen.

Résumé généré par IA

Pourquoi c'est important

ERB ist die Standard-Template-Engine von Ruby, während Marshal das native Binärformat für die Serialisierung von Objekten darstellt. Die Kombination von unsicherer Deserialisierung und Gadget-Chains ist ein bekanntes Risiko in der Ruby-Entwicklung.

Taille de police

Die unter CVE-2026-41316 (CERT-Bund: WID-SEC-2026-1187) registrierte Schwachstelle in Rubys Standard-Template-Bibliothek ERB hebelt den eingebauten Schutz gegen schädliche Deserialisierung aus. Besonders Rails-Anwendungen sind betroffen, die Daten einer Marshal-Serialisierung aus unsicheren Quellen verarbeiten. Mögliche Folge: Remote Code Execution.

Das Ruby-Team hat die Sicherheitslücke am 21. April 2026 veröffentlicht und gleichzeitig einen Fix bereitgestellt. Der Fehler umgeht einen in ERB fest eingebauten Schutzmechanismus gegen schädliche Deserialisierung. Über eine sogenannte Gadget-Chain können Angreifer die Lücke zu Remote Code Execution (RCE) auf dem Server ausnutzen. Entdeckt und gemeldet hat die Schwachstelle TristanInSec.

GitHub vergibt für die Lücke einen CVSS-3.1-Score von 8.1 (High), CERT-Bund stuft sie als kritisch ein. Der Unterschied spiegelt die jeweilige Bewertungslogik wider: CVSS berücksichtigt die erschwerende Komplexität für die Ausnutzung (Metrik AC:H), weil die Lücke zusätzliche Voraussetzungen aufseiten der Anwendung benötigt. CERT-Bund orientiert sich stärker am Schadenspotenzial im Erfolgsfall, also an der möglichen RCE-Wirkung.

Das GitHub Security Advisory enthält neben der technischen Beschreibung einen funktionierenden Proof-of-Concept, der die Ausnutzung mit wenigen Zeilen Ruby-Code demonstriert.

Verwundbar sind alle Versionen des erb-Gems bis einschließlich 6.0.3. Damit liefert faktisch jede aktuelle Rails-Installation eine verwundbare ERB-Version mit. Tatsächlich angreifbar ist eine Anwendung aber nur, wenn beide folgenden Bedingungen zutreffen: Die Anwendung ruft an irgendeiner Stelle mit Marshal.load Daten auf, die ein Angreifer unter Kontrolle hat, und zur Laufzeit ist neben ERB auch ActiveSupport geladen.

Ein erfolgreicher Angriff beschert dem Täter vollständige Code-Ausführung im Kontext des Ruby-Prozesses. Typische Szenarien reichen vom Auslesen sensibler Daten über das Platzieren von Backdoors bis zur vollständigen Übernahme der Anwendung.

Zur Behebung sollten Entwickler das Gem aktualisieren (bundle update erb). Gepatchte Versionen sind 4.0.3.1, 4.0.4.1, 6.0.1.1 sowie 6.0.4. Zudem sollten alle Aufrufe von Marshal.load identifiziert und auf unsichere Datenquellen geprüft werden.

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • Zunahme von Sicherheits-Scans durch Angreifer zur Identifizierung verwundbarer Endpunkte.

    Probable · En quelques jours

  • Verstärkte Migration von Marshal zu sichereren Formaten wie JSON in Rails-Projekten.

    Possible · En quelques mois

Questions ouvertes

  • Wie viele Systeme sind aktuell noch mit ungepatchten Versionen aktiv?
  • Gibt es bereits Berichte über aktive Ausnutzung der Lücke in freier Wildbahn?

Sujets liés

This article was originally published by Heise Online.

Articles liés

Plus sur ce sujetruby