forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено opennews, 19-Авг-14 04:49

Представлены (http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_.../) корректирующие выпуски MVC (Model-View-Controller) web-фреймворка Ruby on Rails 4.0.9 и 4.1.5, в которых устранена опасная уязвимость (https://groups.google.com/forum/#!msg/rubyonrails-security/M...) (CVE-2014-3514), которая может привести к установке произвольных атрибутов моделей. Проблема проявляется в приложениях, использующих метод create_with в Active Record, ошибка в реализации которого позволяет обойти код защиты внутренних параметров.

В качестве обходного пути защиты отмечается замена вызовов подобных "user.blog_posts.create_with(params[:blog_post]).create" на "user.blog_posts.create(params[:blog_post])" или вариант с явным перечислением разрешённых параметров - "user.blog_posts.create_with(params[:blog_post].permit(:title, :body, :etc)).create".

URL: http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=40403

Исходное сообщение
"Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." Отправлено opennews, 19-Авг-14 04:49
Представлены (http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_.../) корректирующие выпуски MVC (Model-View-Controller) web-фреймворка Ruby on Rails 4.0.9 и 4.1.5, в которых устранена опасная уязвимость (https://groups.google.com/forum/#!msg/rubyonrails-security/M...) (CVE-2014-3514), которая может привести к установке произвольных атрибутов моделей. Проблема проявляется в приложениях, использующих метод create_with в Active Record, ошибка в реализации которого позволяет обойти код защиты внутренних параметров. В качестве обходного пути защиты отмечается замена вызовов подобных "user.blog_posts.create_with(params[:blog_post]).create" на "user.blog_posts.create(params[:blog_post])" или вариант с явным перечислением разрешённых параметров - "user.blog_posts.create_with(params[:blog_post].permit(:title, :body, :etc)).create". URL: http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=40403

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Представлены (http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_5_have_been_released/) 
> корректирующие выпуски  MVC (Model-View-Controller) web-фреймворка Ruby on Rails 4.0.9 
> и 4.1.5, в которых устранена опасная уязвимость (https://groups.google.com/forum/#!msg/rubyonrails-security/M4chq5Sb540/CC1Fh0Y_NWwJ) 
> (CVE-2014-3514), которая может привести к установке произвольных атрибутов моделей. Проблема 
> проявляется в приложениях, использующих метод create_with в Active Record, ошибка в 
> реализации которого позволяет обойти код защиты внутренних параметров.

> В качестве обходного пути защиты отмечается замена вызовов подобных "user.blog_posts.create_with(params[:blog_post]).create" 
> на "user.blog_posts.create(params[:blog_post])" или вариант с явным перечислением разрешённых 
> параметров - "user.blog_posts.create_with(params[:blog_post].permit(:title, :body, 
> :etc)).create".

> URL: http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_5_have_been_released/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=40403

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру