The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Ruby on Rails устранена уязвимость, позволяющая осуществит..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от opennews (??) on 03-Янв-13, 13:18 
Доступны (http://weblog.rubyonrails.org/2013/1/2/Rails-3-2-10--3-1-9--.../) для внепланового обновления корректирующие выпуски фреймворка Ruby on Rails 3.2.10, 3.1.9 и 3.0.18, в которых устранена опасная уязвимость (https://groups.google.com/forum/?fromgroups=#!topic/rubyonra...) (CVE-2012-5664). Уязвимость позволяет осуществить выполнение произвольного SQL-кода на сервере через передачу специально оформленного запроса к web-приложению, использующему интерфейс динамического поиска Active Record в сочетании с передачей переменной без явного преобразования типа (например, уязвимы приложения с кодом подобным Post.find_by_id(params[:id]), для защиты достаточно использовать явное преобразование в строку: Post.find_by_id(params[:id].to_s)). Обновление выпущено в экстренном порядке, так как в сети уже можно найти готовый эксплоит для осуществления атаки.

URL: https://groups.google.com/forum/?fromgroups=#!topic/rubyonra...
Новость: https://www.opennet.ru/opennews/art.shtml?num=35748

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


4. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +2 +/
Сообщение от Аноним (??) on 03-Янв-13, 14:03 
В SQLAlchemy такого никогда не будет. Python рулит!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +1 +/
Сообщение от Аноним (??) on 03-Янв-13, 14:22 
Еще бы рулил куда надо )))
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 03-Янв-13, 14:45 
правильно. Вся эта педерастия в виде ORM  не нужна
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  –1 +/
Сообщение от Crazy Alex (??) on 03-Янв-13, 16:34 
Точнее, в разумных пределах нужна. Смысл писать рутинный SQL когда он тривиально  генерируется. Другое дело, что если по уму - то: 1) SQL генерируется один раз; 2) есть способы написать его руками; 3) не выпендриваться и не делать ORM слишком умным, его задача - избавить от рутинного кода.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от Аноним (??) on 03-Янв-13, 18:30 
> правильно. Вся эта педерастия в виде ORM  не нужна

Не вопрос. Используй SQLAlchemy Core как генератор SQL.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от Аноним (??) on 03-Янв-13, 18:39 
> как генератор SQL.

Или как конструктор. Не знаю как точнее описать это. В Drupal-е начиная с 7 версии похожая штука есть.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

13. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  –2 +/
Сообщение от Аноним (??) on 03-Янв-13, 17:44 
> В SQLAlchemy такого никогда не будет. Python рулит!

Да, тут в соседней ветке в питонистом moinmoin нашли аж выполнение левого кода через убер-баянный баг.

О чем это я? Да о том что вы лишний раз нам показали что поделия на питоне надо обходить за километр: как видим, на питоне программируют бакланы полагающие что крютой рантайм и крютой фреймворк заменяют разработчику мозги.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +1 +/
Сообщение от Аноним (??) on 03-Янв-13, 18:28 
> Да, тут в соседней ветке в питонистом moinmoin нашли аж выполнение левого
> кода через убер-баянный баг.

И? Я не утверждал, что в питоне нельзя создать уязвимость по собственной глупости.

> на питоне программируют бакланы полагающие что крютой рантайм и крютой фреймворк
> заменяют разработчику мозги.

Не проецируй. Функционал SQLAlchemy видел? Не читал, но осуждаю?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

6. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от бедный буратино (ok) on 03-Янв-13, 14:33 
Это уязвимость в active record, или уязвимость из-за обхода active record и "делания по-своему"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от Crazy Alex (ok) on 03-Янв-13, 21:21 
Насколько я понимаю - из-за слишком богатого функционала. Хрен все мыслимые пути проверишь.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

26. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  –3 +/
Сообщение от Аноним (??) on 03-Янв-13, 22:01 
> Насколько я понимаю - из-за слишком богатого функционала. Хрен все мыслимые пути
> проверишь.

Помолчи. Два кейворда в строковом значении проверить, прежде, чем кормить это в запрос, может даже дебил. Ты не понимаешь ни сути инъекции, ни реляционных субд в частности.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

33. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +2 +/
Сообщение от Crazy Alex (??) on 04-Янв-13, 01:25 
Это ты сути не понял. Ну придумают какой-то другой путь. Ничему попытки резать HTML-теги в своё время для получения "безопасного" подмножества не научили? Валидация по черным спискам дырява всегда.

Если уж на что там наезжать - так это на хранение чего-то, что десериализуется напрямую, в куках. Но - положились на HMAC и не вбили генерацию его секрета в дефолтное развертывание приложения. Ну и слишком вольная тактовка параметров всегда злом была. Былоб всё фиксировано - и нет проблем. В общем, вагон мелких и простительных огрехов удачно совпал.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +1 +/
Сообщение от Аноним (??) on 04-Янв-13, 11:52 
Интеллигентные люди в куки не кладут ничего критичного. По сути, авторизационные куки есть лишь квитанция, что имярек успешно прошел аутентификацию и имеет доступ к тому-то и тому-то.

Суть, однако, SQL-инъекции - в пропихивании через веб-форму подзапроса UNION с доступом к таблицам пользователей/паролей и эскалация прав в бакэндовой БД до суперпользовательских. С последующим выносом оттуда логинов и паролей пользователей.

И защита делается либо на стороне сервера приложений (проверяется либо посредством, скажем, GreenSQL или хардкодовой процедурой валидации значений на отсутствие SQL-кейвордов), либо на стороне самой БД, скажем, на уровне табличного интерфейса, обязательного при обращении к таблицам (как это сделано в Oracle).

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

7. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 03-Янв-13, 14:44 
а что, в AR нет нативного эйскепинга контента?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от Аноним (??) on 03-Янв-13, 15:08 
есть, если интересно патчи смотрите
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

27. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от Аноним (??) on 03-Янв-13, 22:02 
> есть, если интересно патчи смотрите

Это руками за секунды пишется. Если чо. Любым вменяемым девелопером. SQL-инъекции как методике атаки сто лет в обед.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

39. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от GentooBoy (ok) on 04-Янв-13, 22:56 
И что дальше? переполнению буфера и стрека по боле будет летов.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

19. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от asdoooq on 03-Янв-13, 20:15 
А в чём фишка-то? Рельсы, когда разбирают параметры, могут в качестве значения параметра создать не строку, а объект произвольного типа? Правильно я понял?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +/
Сообщение от Crazy Alex (ok) on 03-Янв-13, 21:30 
у рельсов там используется десериализация, из которой можно собрать что угодно. Друго дело, что там вполне разумно прикрылись подписью. Ключ для, которой, по идее, надо генерировать при каждом развертывании рельсового прииложения или предупреждат администратора, но этого не сделано во многих опенсорсных проектах.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

37. "В Ruby on Rails устранена уязвимость, позволяющая осуществит..."  +1 +/
Сообщение от Аноним (??) on 04-Янв-13, 11:54 
> у рельсов там используется десериализация, из которой можно собрать что угодно. Друго
> дело, что там вполне разумно прикрылись подписью. Ключ для, которой, по
> идее, надо генерировать при каждом развертывании рельсового прииложения или предупреждат
> администратора, но этого не сделано во многих опенсорсных проектах.

В опенсурсе тоже полно г@внокодеров, мнящих себя супер-пупер-мега-дупер-профессионалами.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

20. "Тем, кому интересны детали"  +1 +/
Сообщение от Аноним (??) on 03-Янв-13, 21:18 
http://blog.phusion.nl/2013/01/03/rails-sql-injection-vulner.../

Забавная дырка, да.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Тем, кому интересны детали"  +/
Сообщение от Аноним (??) on 04-Янв-13, 20:07 
> But ActiveRecord also defines ways for the programmer to inject SQL fragments into the query

Так это же выходит не баг, это штатное поведение ActiveRecord.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру