The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ

12.02.2013 21:30  Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранением критической уязвимости

Представлены корректирующие выпуски Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 в которых устранены две уязвимости:

  • Первая уязвимость (CVE-2013-0277) обусловлена недоработкой в коде сериализации данных в ActiveRecord, который позволяет при разборе сериализированных полей распаковать и обработать произвольный блок YAML. Как и в ситуации с ранее исправленными в этом году уязвимостями, передав специально оформленную последовательность YAML атакующий может инициировать выполнение объектов с Ruby-кодом.
  • Вторая уязвимость (CVE-2013-0276) связана ошибкой в реализации метода "attr_protected" в ActiveRecord, который не полностью ограничивает доступ к закрытым атрибутам, что позволяет атакующему изменить запрещённые для изменения параметры через отправку специально оформленного запроса. Проблема проявляется только при использовании в приложении метода "attr_protected".

Отдельно отмечается уязвимость (CVE-2013-0269) в JSON gem, позволяющая осуществить отказ в обслуживании или способствовать проведению целевых атак по подстановке SQL-запроса при обработке специально оформленного ввода.

  1. Главная ссылка к новости (http://weblog.rubyonrails.org/2013/2/11/...)
  2. OpenNews: Rubygems.org подвергся взлому
  3. OpenNews: Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением критической уязвимости
  4. OpenNews: В Ruby on Rails обнаружена критическая уязвимость, позволяющая выполнить код на сервере
  5. OpenNews: В Ruby on Rails устранена уязвимость, позволяющая осуществить подстановку SQL-кода
Тип: Проблемы безопасности
Ключевые слова: ruby, rails, security, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, Аноним, 21:33, 12/02/2013 [ответить] [смотреть все]
  • +4 +/
    Это уже не смешно, c начала года в RoR стабильно каждые две недели находят крити... весь текст скрыт [показать]
     
     
  • 2.6, ВовкаОсиист, 22:00, 12/02/2013 [^] [ответить] [смотреть все]  
  • +/
    не смешнее было б, если бы не выходили обновления с устранением проблем безопасности(см жава).
     
  • 2.8, kosha, 23:32, 12/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Чем выше популярность, тем больше интерес к информации обрабатываемой фреймворком (поиск дыр). Банально.
    Кстати, сегодня на форуме прочитал, что гитхаб в последнее время тоже регулярно стал недоступен, тоже ведь на RoR.
     
     
  • 3.9, Аноним, 00:03, 13/02/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Проблема не в активном поиске дыр, а в том, что уже четвёртый раз не могут полно... весь текст скрыт [показать]
     
  • 2.13, Аноним, 13:55, 13/02/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    А вы думали что выполнение кода возможно только через переполнение буфферов Ха-... весь текст скрыт [показать]
     
  • 1.3, V, 21:52, 12/02/2013 [ответить] [смотреть все]  
  • +1 +/
    http://www.didrailshaveamajorsecurityflawtoday.com/
     
  • 1.5, evgeny_t, 21:59, 12/02/2013 [ответить] [смотреть все]  
  • +2 +/
    это не уязвимость а позорное программирование )
     
     
  • 2.14, Аноним, 14:31, 13/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Сделай лучше, фуле Код открыт Форкни и почини А то песдеть все горазды ... весь текст скрыт [показать]
     
  • 1.7, Аноним, 22:27, 12/02/2013 [ответить] [смотреть все]  
  • +/
    Интересно, уязвимости на Github е тестируют ... весь текст скрыт [показать]
     
  • 1.10, бедный буратино, 02:50, 13/02/2013 [ответить] [смотреть все]  
  • –1 +/
    Rails хочет занять место php? :)
     
     
  • 2.11, Аноним, 06:22, 13/02/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    По количеству уязвимостей в последнее время рельсы успешно соревнуются с джаво-п... весь текст скрыт [показать]
     
     
  • 3.12, бедный буратино, 09:06, 13/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Уязвимость-то одна, но они её так бережно переносят из версии в версию, дабы не сломать. :)
     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter    
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 22.10 Fastsocket - новая высокомасштабируемая реализация сетевой подсистемы ядра Linux (14 +8)
    - 17.10 Анонсирован Android 5.0 "Lollipop", выпущен SDK и предварительные сборки (97 +29)
    - 15.10 Выпуск пользовательской оболочки KDE Plasma 5.1 (53 +31)
    - 15.10 Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0 (57 +24)
    - 14.10 Релиз Firefox 33 (83 +35)
    - 11.10 Компания AMD представила новую стратегию разработки графических драйверов для Linux (54 +75)
    - 07.10 В Bugzilla устранена опасная уязвимость, открывшая новый вид атак на web-приложения (22 +7)

    Советы
    - 02.10 Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator
    - 01.10 Организация кэширования только медленных ответов сервера при помощи Nginx
    - 18.09 Запуск Android-приложений в окружении Chrome OS или в браузере Chrome
    - 17.09 Добавление поддержки SSL в pgbouncer при помощи stunnel
    - 17.08 Простой способ существенно увеличить производительность открытого драйвера RadeonSI

    Обсуждаемые новости
    - 01:29 Debian задействовал Xfce по умолчанию для архитектур, отличн (50)
    - 01:28 Разработчики GNOME подготовили пожелания по улучшению ядра L (115)
    - 01:24 Fastsocket - новая высокомасштабируемая реализация сетевой п (21)
    - 01:07 Выпуск PyPy3 2.4, реализации Python 3, написанной на языке P (27)
    - 01:04 Выпуск web-браузера GNU IceCat 31.2.0 (31)
    - 00:43 22 ноября в Одессе состоится конференция FOSS Sea 2014, посв (1)
    - 00:22 Двадцатый выпуск журнала Pragmatic Perl (5)
    - 00:15 Дэниел Бернштейн выступил с критикой позиции ФБР о шифровани (113)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2014 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList