The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Ruby on Rails повторно устранена возможность подстановки S..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Ruby on Rails повторно устранена возможность подстановки S..."  +/
Сообщение от opennews (??) on 13-Июн-12, 12:22 
Спустя две недели с момента публикации (http://www.opennet.ru/opennews/art.shtml?num=33992) информации об критической уязвимости в web-фреймворке Ruby on Rails, представлены очередные корректирующие выпуски 3.0.14 (http://weblog.rubyonrails.org/2012/6/12/ann-rails-3-0-14-has.../), 3.1.6 (http://weblog.rubyonrails.org/2012/6/12/ann-rails-3-1-6-has-.../) и 3.2.6 (http://weblog.rubyonrails.org/2012/6/12/ann-rails-3-2-6-has-.../), в который устранена очередная порция опасных уязвимостей.


Как и прошлая уязвимость новая проблема безопасности (https://groups.google.com/forum/?fromgroups#!topic/rubyonrai...) связана с реализацией обработки вложенных запросов в Active Record и позволяет осуществлить подстановку своего SQL-кода. Данная проблема по своей сути аналогична прошлой уязвимости (http://www.opennet.ru/opennews/art.shtml?num=33992), но подразумевает использование немного другой техники эксплуатации, позволяющей обойти метод борьбы с уязвимостью, добавленный в прошлом выпуске Ruby on Rails. Вторая уязвимость (https://groups.google.com/forum/?fromgroups#!topic/rubyonrai...) связана с некорректным разбором параметров в Rack при использовании Active Record, что позволяет вставить в SQL-запрос условие "IS NULL".


URL: http://weblog.rubyonrails.org/2012/6/12/ann-rails-3-2-6-has-.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=34089

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Ruby on Rails повторно устранена возможность подстановки S..."  +/
Сообщение от Аноним (??) on 13-Июн-12, 12:22 
При использовании Model.find_by_token(params[:token]), где params[:token] есть ['xyz', nil], он будет конвертирован в "IN ('xyz', NULL)".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Ruby on Rails повторно устранена возможность подстановки S..."  +2 +/
Сообщение от Аноним (??) on 13-Июн-12, 12:26 
И что, опять им фикс кто-то добровольно-принудительно вкоммитил? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Ruby on Rails повторно устранена возможность подстановки S..."  –1 +/
Сообщение от Аноним (??) on 13-Июн-12, 16:51 
Я огарчен.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В Ruby on Rails повторно устранена возможность подстановки S..."  –1 +/
Сообщение от Аноним (??) on 13-Июн-12, 20:10 
> огарчен

Граммар-наци, пришлите ему за это расстрельную команду. Ну пожалуйста!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "В Ruby on Rails повторно устранена возможность подстановки S..."  +/
Сообщение от vovan (??) on 14-Июн-12, 09:40 
ви - тюпицца.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "В Ruby on Rails повторно устранена возможность подстановки S..."  +/
Сообщение от ffirefox on 14-Июн-12, 18:17 
> ви - тюпицца.

Я так понимаю, это надо воспринимать как бравирование предательством ... родной речи? Тогда Вас не расстреляют, а повесят. На презренных предателей пуль не тратят ;)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

5. "В Ruby on Rails повторно устранена возможность подстановки S..."  +/
Сообщение от Аноним (??) on 13-Июн-12, 17:11 
это хорошо. чем больше закроют тем надежнее будет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Ruby on Rails повторно устранена возможность подстановки S..."  +/
Сообщение от Xasd (ok) on 13-Июн-12, 22:24 
прочитал как "нежнее" :-)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "В Ruby on Rails повторно устранена возможность подстановки S..."  –1 +/
Сообщение от Аноним (??) on 14-Июн-12, 11:03 
> это хорошо. чем больше закроют тем надежнее будет.

Чем больше найдут - тем кривее руки у разработчиков, а значит, тем больше ненайденных и незакрытых дыр.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "В Ruby on Rails повторно устранена возможность подстановки S..."  +/
Сообщение от Аноним (??) on 14-Июн-12, 01:38 
часто ror стал обновлятся, даже интересно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В Ruby on Rails повторно устранена возможность подстановки S..."  +/
Сообщение от Аноним (??) on 14-Июн-12, 09:49 
дык 4 релиз грядет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В Ruby on Rails повторно устранена возможность подстановки S..."  –1 +/
Сообщение от б.б. on 14-Июн-12, 11:00 
Не знаю, кто такой activerecord, но сейчас aptitude мне предложил его удалить. Видимо, ему уже надоело.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В Ruby on Rails повторно устранена возможность подстановки S..."  –1 +/
Сообщение от Аноним (??) on 14-Июн-12, 15:15 
приятель, если не пользуешь раилс, ставить active*.gem не обязательно
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру