The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критическая уязвимость во фреймворке Ruby on Rails

18.08.2011 08:16

Представлены корректирующие выпуски web-фреймворка Ruby on Rails 2.3.14 и 3.0.10, в которых устранено 5 уязвимостей. Одна из уязвимостей, связанная с недостаточной проверкой внешних значений, обрабатываемых методом "quote_table_name", может быть использована для подстановки SQL-кода и получения полного контроля над БД сайта.

Дополнительно исправлены две недоработки, позволяющие осуществить подстановку JavaScript-блоков на сайт (межсайтовый скриптинг). Одна ошибка позволяет отобразить содержимое закрытых разделов сайта. Одна проблема позволяет осуществить подстановку произвольного HTTP-заголовка, выводимого в ответ на запрос пользователя.

  1. Главная ссылка к новости (http://weblog.rubyonrails.org/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31523-ruby
Ключевые слова: ruby, rails, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, KO (?), 09:21, 18/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла или отсутствие таких сайтов?
     
     
  • 2.3, Аноним (-), 10:10, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    SQL-инъекциях? Про SQL-инфекции я тоже давненько не слыхал.
     
  • 2.12, Аноним (-), 11:54, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла
    > или отсутствие таких сайтов?

    Это особенность модулей DBI, при использовании которых можно написать скрипт с наличием инъекции только специально сильно этого захотев.

     
  • 2.16, rshadow (ok), 14:07, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Это особенность высокого порога вхождения
     
  • 2.21, all_glory_to_the_hypnotoad (ok), 18:07, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    уже +20 лет не видел сайты на перл. мб по этому не слышал об инъекциях?
     
     
  • 3.22, myc (?), 20:36, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    немалая часть проектов yandex, mail.ru, rambler работает на перле.
    мало?
     
  • 3.23, Аноним (-), 21:59, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > уже +20 лет не видел сайты на перл. мб по этому не
    > слышал об инъекциях?

    opennet на perl - https://www.opennet.ru/guide.shtml#hw

     
  • 3.24, ы (?), 12:28, 19/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    > уже +20 лет не видел сайты на перл.

    это связно с тем, что очень многие люди не видят того, что находится у них перед их носом. :)

     
  • 3.25, sugar (?), 00:44, 21/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    У нашей конторы все проекты на Perl, фреймворке Mojolicious - http://mojolicio.us/
    Пишем, сдаем, не жалуемся.
    Кстати, фреймворк, упомянутый мной, отличная альтернатива рельсам на перле.
     

  • 1.5, бедный буратино (ok), 10:40, 18/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Это что, пока обновление из Debian не выйдет, дебиановский redmine лучше гасить?
     
     
  • 2.19, UbuntoidLinuxoid (?), 17:40, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    В redmine уязвимостей нет. Были уязвимости в рельсах. Обновлять надо рельсы.
    Когда будем читать то что написано, а не то что хочется?
     
  • 2.20, northbear (??), 17:45, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Редмайн в паблик лучше не выставлять... Он сам по себе довольно коряво написан.
     

  • 1.6, re (?), 11:25, 18/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    что такое дебианевский редмине?
     
     
  • 2.9, бедный буратино (ok), 11:34, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    > что такое дебианевский редмине?

    Redmine из стандартного комплекта Debian. В Debian rails 2.3.5

     
     
  • 3.10, re (?), 11:43, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    >> что такое дебианевский редмине?
    > Redmine из стандартного комплекта Debian. В Debian rails 2.3.5

    благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)

     
     
  • 4.11, бедный буратино (ok), 11:45, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    > благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)

    Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не касается, а может быть - спят ещё.

     
     
  • 5.13, re (?), 12:02, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    >> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)
    > Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь
    > волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не
    > касается, а может быть - спят ещё.

    на oneiric есть такой но инстал не делал, и без него вроде всегда обхожусь

     
     
  • 6.15, Ivan1986 (?), 14:05, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    в oneiric оно поломано :(
     

  • 1.7, Аноним (-), 11:28, 18/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Что такое редмине?
     
     
  • 2.8, re (?), 11:33, 18/08/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    > Что такое редмине?

    redmine

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру