The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В Ruby on Rails устранена уязвимость, допускающая подстановку SQL-кода"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Ruby on Rails устранена уязвимость, допускающая подстановку SQL-кода"  +/
Сообщение от opennews (??), 20-Янв-23, 13:20 
Опубликованы корректирующие обновления фреймворка  Ruby on  Rails 7.0.4.1, 6.1.7.1 и 6.0.6.1, в которых устранено 6 уязвимостей. Наиболее опасная уязвимость (CVE-2023-22794) может привести к выполнению заданных атакующим SQL-команд при использовании внешних данных в комментариях, обрабатываемых в ActiveRecord. Проблема вызвана отсутствием необходимого экранирования спецсимволов в комментариях перед их сохранением в СУБД...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58519

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 20-Янв-23, 13:20   +2 +/
> ActiveRecord
> Проблема вызвана отсутствием необходимого экранирования

Но как, Бэрримор?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от хрю (?), 20-Янв-23, 13:28   –1 +/
Подросло поколение не знающих, что такое SQL инъекции? Они же бичЪ php.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #9

3. Сообщение от mos87 (ok), 20-Янв-23, 13:37   +/
Little Bobby Tables strikes again.

зато Ruby крутой, для ценителей ёпт.

Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Вечно недовольный аноним (?), 20-Янв-23, 13:40   +/
А что полезного написано с РоРом кроме дисковода из соседней новости? Я думал вебом управляет питон и вордпресс, помогите просветиться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #13, #22, #25, #31

5. Сообщение от Васян (?), 20-Янв-23, 13:46   +1 +/
GitHub пойдёт?

Twitch, SoundCloud, Airbnb......

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8, #15, #18

6. Сообщение от Аноним (6), 20-Янв-23, 13:53   –1 +/
помню в нулевые чуть ли не каждый второй сайт на пыхе имел это. Проверять можно было тупо подставляя апостроф в конец айдишника урла, типа news.php?id=123'. Обычно приводило к ошибкам mysql и headers already sent. Далее опционально можно было вводить остальную часть запроса, на античате выкладывали готовые методички, как действовать дальше в зависимости от ответа сервера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

8. Сообщение от Аноним (8), 20-Янв-23, 13:55   +1 +/
Кто-то в трезвом уме пользуется GitHub-ом?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #14

9. Сообщение от Аноним (1), 20-Янв-23, 14:07   +2 +/
Кажется, кто-то не вкурил, что такое ActiveRecord и об чём был пост.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11

10. Сообщение от Аноним (10), 20-Янв-23, 14:09   +/
Ну вот нахрена устранили, ведь так удобненько было!
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от хрю (?), 20-Янв-23, 14:25   +2 +/
В рельсах реализация шаблона ActiveRecord, называется, внезапно, ActiveRecord.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19

12. Сообщение от хрю (?), 20-Янв-23, 14:28   +/
20 лет назад, наспор ломал любой порнушный сайт :-))) ибо они были все написаны студентами на 3 php в понятно каком стиле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17, #23, #26

13. Сообщение от хрю (?), 20-Янв-23, 14:33   +/
Не знаю как сейчас, но вроде одно время сайт нетфликс был на рельсе (остатки былого https://github.com/Netflix/fast_jsonapi). В одно время рельса была прям жутко популярна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #24

14. Сообщение от Васян (?), 20-Янв-23, 15:16   +2 +/
Так, немного, 70 миллионов всего... Вот лохи, правда? Зашли бы на опеннет, тут бы им быстро и авторитетно растолковали всю глубину их невежества...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #20

15. Сообщение от Вечно недовольный аноним (?), 20-Янв-23, 15:21   +/
А гитхаб уже хакнули?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #43

16. Сообщение от Аноним (16), 20-Янв-23, 15:52   +1 +/
Вроде как их уже хакали по рельсам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #36

17. Сообщение от Порнушник (?), 20-Янв-23, 15:56   +6 +/
Так вот кто мне сайт в 2002 году сломал? Ирод, окаянный!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от Вы забыли заполнить поле Name (?), 20-Янв-23, 15:57   +1 +/
github enterprise жрет как в не себя
SoundCloud во всю на go перешёл
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

19. Сообщение от Порнушник (?), 20-Янв-23, 15:57   +/
Раз они такие умные чего дыру у себя сделали тогда? Не нужны нам эти ваши руби.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от Вы забыли заполнить поле Name (?), 20-Янв-23, 15:58   +2 +/
И сколько из 70 Лямов там Гуанахуато на жс каком-нибудь или зеркал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

21. Сообщение от Вы забыли заполнить поле Name (?), 20-Янв-23, 16:00   +1 +/
Поезд сошёл с рельс. Быстро хайп прошёл. Лозунг программист дороже железа забыт. Вот так вот сынки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

22. Сообщение от ShpurloS (?), 20-Янв-23, 16:04   +/
Redmine
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

23. Сообщение от Бывалый смузихлёб (?), 20-Янв-23, 16:22   +3 +/
вот из-за кого с тех пор количество годных прон-сайтов в рунете сильно поубавилось!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

24. Сообщение от Бывалый смузихлёб (?), 20-Янв-23, 16:32   +/
> В одно время рельса была прям жутко популярна.

В одно, очень небольшое время. Но оно показало, насколько заказчики в среднем ослы - без каких-либо внятных обоснований, когда рубин-на-рельсах был на слуху, требовали пилить бэк именно на нём, а не на каком-то там пыхе или питоне
В итоге, многие сейчас в поту бегают и ищут хоть кого-то на поддержку своих говносерверов

Складывается ощущение, что энная группа лиц или ИТ-контор специально предварительно раскурила р-н-р, после - пустила мощный медийный шум и срубила очень славные деньги на разработке на этом, пока остальные только расшевеливались в изучении этих отходов, а самые денежные и модные заказчики - уже требовали срочно забрать все их деньги и сделать хоть что-то на этом б-жественном непойми чём.
Ну а то что по всяким хренабрам и его последователям славный шум разошёлся - так такова участь придатков западных инфоканалов. Они всегда будут лишь догоняющими холопами, а заказчики их - влезающими в д.мо по самые уши, ведь никто из адептов-пейсателей восторженных статеек по теме великого и крутого рубина-на-рельсах абсолютно ни за что не отвечает в плане издержек конечного заказчика из-за рубина, внезапно превратившегося в тыкву

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #44

25. Сообщение от Аноним (-), 20-Янв-23, 16:55   +1 +/
Мастодон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

26. Сообщение от Аноним (26), 20-Янв-23, 16:57   +/
я в 2002 году начинал писать на php, повсеместно уже был php4, php3 было найти не так просто :) проще сайты на perl было найти :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

27. Сообщение от Аноним (27), 20-Янв-23, 16:58   –2 +/
Не знаю Ruby и шаблон ActiveRecord, но предпочитаю prepared statement  экранированию.
Подготовленные запросы заведомо более безопасны, чем экранирование
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Аноним (30), 20-Янв-23, 19:56   –1 +/
Руби (РоР) любят за понятный человеку ближе синтаксис.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

31. Сообщение от Petya (??), 20-Янв-23, 20:23   +/
Навскидку Github, Gitlab, Stripe, Zendesk, Upwork, Kickstarter, Mastodon, Twitter, Netflix. Много где используется. Смотрел статистику стартапов-единорогов(которые выросли в итоге в миллиардные бизнесы) из долины и на каком стеке изначально они поднимались. Так там добрая половина проектов была именно на RoR. не пхп, не питон, а именно рельсы, меня это удивило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #35

32. Сообщение от Аноним (32), 20-Янв-23, 22:18   +/
> Лозунг программист дороже железа забыт.

ну да.... То то сейчас по рейтингам популярности питон на первом месте, хотя ни эффективности в скорости написания кода в сравнении с Руби, ни эффективности выполнения не имеет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #39

35. Сообщение от Вы забыли заполнить поле Name (?), 20-Янв-23, 23:36   +/
Twitter разве не на скале?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #37

36. Сообщение от Аноним (36), 21-Янв-23, 00:11   +1 +/
Гитхаб в 2012 эпично хакнули залив пулл-реквест в репу РоРа с исправлением эксплойта, благодаря которому хак был возможен.
https://arstechnica.com/information-technology/2012/03/hacke.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #40

37. Сообщение от Аноним (36), 21-Янв-23, 00:15   +/
Его потом кусками переписывали на микросервисы на Скале, изначально он на рельсах работал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #38

38. Сообщение от Вы забыли заполнить поле Name (?), 21-Янв-23, 01:11   +/
> Его потом кусками переписывали на микросервисы на Скале, изначально он на рельсах
> работал.

Значит надо так и писать, что использовался.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Вы забыли заполнить поле Name (?), 21-Янв-23, 01:13   +/
>> Лозунг программист дороже железа забыт.
> ну да.... То то сейчас по рейтингам популярности питон на первом месте,
> хотя ни эффективности в скорости написания кода в сравнении с Руби,
> ни эффективности выполнения не имеет.

Для питона куча биндингов и либ. А когда дело доходит до цены за ресурсы, то с него уходят на другие инструменты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42

40. Сообщение от Вы забыли заполнить поле Name (?), 21-Янв-23, 01:15   +/
> Гитхаб в 2012 эпично хакнули залив пулл-реквест в репу РоРа с исправлением
> эксплойта, благодаря которому хак был возможен.
> https://arstechnica.com/information-technology/2012/03/hacke.../

Да, помню эту историю, Хомяков красавчик.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

41. Сообщение от Вы забыли заполнить поле Name (?), 21-Янв-23, 01:18   +/
> Руби (РоР) любят за понятный человеку ближе синтаксис.

У тебя syntax error

Руби (РоР) любят за понятный человеку ближе синтаксис end

Поправил, не благодари.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

42. Сообщение от Аноним (32), 21-Янв-23, 08:44   +1 +/
> Для питона куча биндингов и либ. А когда дело доходит до цены за ресурсы, то с него уходят на другие инструменты.

Совершенно верно, питону в вебе не место. Хотя, сложно вообще найти применение питону кроме как какие-то скриптики конфигурирования чего-то или копирования файлов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

43. Сообщение от Аноним (43), 21-Янв-23, 10:12   +/
Да https://www.opennet.ru/opennews/art.shtml?num=33268
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

44. Сообщение от хрю (?), 22-Янв-23, 16:02   –2 +/
>> Но оно показало, насколько заказчики в среднем ослы

Почему ослы? Им надо быстро выйти на рынок и занять нишу и получить инвестиции, что будет потом и будет ли это потом дело десятое. В своё время рельса была в этом деле тру. Ниша занята, инвестиционное быбло получено, можно нанимать нормальных разрабов, думать и пилить.  

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #46

46. Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 16:35   –1 +/
>>> Но оно показало, насколько заказчики в среднем ослы
> Почему ослы? Им надо быстро выйти на рынок и занять нишу и
> получить инвестиции, что будет потом и будет ли это потом дело
> десятое. В своё время рельса была в этом деле тру. Ниша
> занята, инвестиционное быбло получено, можно нанимать нормальных разрабов, думать и пилить.

Они бы это и с супер развитым пыхом могли запросто, но там даже не ниша, а тупо разработка под заказ и конечный результат участников вообще не волнует
А по рубину на рельсах - не было ничего, кроме пачки влажных розовых статеек на х*бре

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру