The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от opennews on 30-Янв-13, 09:23 
Спустя всего две недели с момента прошлой (https://www.opennet.ru/opennews/art.shtml?num=35792) опасной уязвимости представлено корректирующее обновление Ruby on Rails 3.0.20 и 2.3.16 (http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3.../) с устранением очередной критической уязвимости (https://groups.google.com/forum/?fromgroups=#!topic/rubyonra...) (CVE-2013-0333), которая может привести к выполнению кода на сервере, обходу системы аутентификации и выполнению SQL-запроса. Проблема найдена в коде парсера JSON и может быть эксплуатирована при обработке специально сформированного JSON-блока c YAML-вставками. Для эксплуатации достаточно отправить любому приложению специальный HTTP POST-запрос с типом "text/json".

Интересно, что уязвимость имеет единые корни с прошлой (https://www.opennet.ru/opennews/art.shtml?num=35792) критической проблемой, для которой был устранён лишь частный случай проявления уязвимости. Оказалось, что кроме XML блоков YAML-вставки аналогичным образом могут быть обработаны и в JSON-контенте. ActiveSupport::JSON по умолчанию используется бэкенд Yaml, который выполняет разбор через трансляцию JSON в YAML и выполнение YAML.load. При разборе строк используется метод StringScanner, заменяющий элементы JSON на эквивалентные блоки YAML, но не выполняющий полный парсинг и проверку конструкций JSON, что позволяет сформировать  произвольные  блоки YAML, в том числе передать и выполнить объекты с Ruby-кодом.

Всем пользователям Ruby on Rails  рекомендуется незамедлительно установить обновление, так как в сети уже опубликован (http://ronin-ruby.github.com/blog/2013/01/28/new-rails-poc.html) рабочий прототип эксплоита (https://github.com/rapid7/metasploit-framework/blob/master/m...). Проблема проявляется в ветках  2.3.x и 3.0.x. В качестве обходного пути защиты можно переключиться на бэкенд JSONGem, указав настройках инициализации приложения  ActiveSupport::JSON.backend = "JSONGem".


URL: http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=35954

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от Int on 30-Янв-13, 09:23 
Кто-нибудь знает как корректно обновить рельсы под редмайном 2.0.3 ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от backbone (ok) on 30-Янв-13, 11:36 
Смотря как ставили, если вручную из Git, то достаточно bundle update rails.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от Int on 30-Янв-13, 14:04 
Использовали образ от bitnami

$ bundle show rails
Could not locate Gemfile

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от backbone (ok) on 30-Янв-13, 14:12 
cd <intallation_directory>/ruby/bin/
./gem update rails 2.3.16

Так рекомендуют на форуме bitnami: http://bitnami.org/forums/forums/redmine/topics/is-there-a-w...

Заведётся ли Redmine-2 с новыми рельсами - другой вопрос.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

3. "Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от Аноним (??) on 30-Янв-13, 12:07 
Версия редмайна привязанна к версии рельс. Версию 2.0.3 есть смысл обновить до 2.1.6 или 2.2.2.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от Int on 30-Янв-13, 14:05 
> Версия редмайна привязанна к версии рельс. Версию 2.0.3 есть смысл обновить до
> 2.1.6 или 2.2.2.

Неужели всё так плохо ? :(
Вот что что, а сам редмайн трогать совершенно не хочется.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от Аноним (??) on 31-Янв-13, 11:56 
Ага, есть такое дело.
http://www.redmine.org/projects/redmine/wiki/RedmineInstall - тут есть таблица с версиями редмайна и требуемыми версиями рельс.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити..."  +/
Сообщение от pavlinux (ok) on 30-Янв-13, 20:40 
> рабочий прототип эксплоита.

527 форков :)  Скрипт-кидисы лютуют!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру