Критическая уязвимость в Ruby on Rails

Интересно. :)

апдейтицо все одной командой :-]

http://groups.google.com/group/ror2ru/browse_thread/thread/e654a6ddedc29e7e/7...

Говорят проблема только в Development mode, так что ничего страшного. Если вспомнить эксплойты к PHPbb так это просто детский сад. А уязвимость всего-то роняла модуль роутинга, так что ничего страшного не сделают (в development это же не критично).

PS. А где флейм от быдлопыхпышников, которые получают 10к$ в месяц с серверов работающих на cgi ?

уже обновился. Интересно всё-таки узнать , что там такого сломали.

> Говорят проблема только в Development mode, так что ничего страшного.

угу . в ror2ru мусолят целый день.

http://blog.tuples.us/?p=23

----

http://yourdomain.com/breakpoint_client

http://yourdomain.com/active_support/dependencies

breakpoint_client causes the application to hang. All subsequent page requests will hang.

active_support/dependencies causes the stack to overflow. All subsequent page requests will return a stack overflow error message.

Here's the kicker - I can get these errors to occur using Rails 1.1.5. The mandatory patch does not actually fix anything! More to come…

А мораль одна - нефиг девелопмент на внешку выставлять :) Это также просто как нефиг под рутом сидеть :)

Смешно и глупо выглядит заявление разработчкиов "пропатчите ыкорее, а что - мы вам пока не скажем". Прямо как MS :) Как будто diffом никто пользоваться не умеет :)))

детали того, что именно там за дыра, есть тут.

http://blog.evanweaver.com/articles/2006/08/10/explanation-of-the-rails-secur...

Это потенциальный remote code execution, прчием не тольк ов developer-ветке, как кто-то выше пытался сказать.

Ну умеют, а что, лучше сразу вываливать всю подноготную, подставляя собственных пользователей? Любопытное заявление.

>Ну умеют, а что, лучше сразу вываливать всю подноготную, подставляя собственных пользователей? Любопытное заявление.

Полностью согласен, это - не Security through obscurity - исходники есть - значит те кому надо докопаются, а всякие малолетние супер-хацкеры, выучившие как запускать nmap и gcc exploit.c, идут лесом.

Лучше сразу до 1.1.6:

"With Rails 1.1.0 through 1.1.5 (minus the short-lived 1.1.3), you can trigger the evaluation of Ruby code through the URL because of a bug in the routing code of Rails. This means that you can essentially take down a Rails process by starting something like /script/profiler, as the code will run for a long time and that process will be hung while it happens. Other URLs can even cause data loss."

Короче, могли завалить весь сервер просто через URL в браузере.

>Если вспомнить эксплойты к PHPbb так это просто детский сад.

И давно у нас phpBB стал фреймворком?

хороший наследничек у пэхапэ подрастает :) и что самое хорошее - и у тех и у других приверженцы отличаются исключительным фанатизмом и отмажутся фразой: а, фигня полная, кидисы прут лесом...

А вы,уважаемый palach, исключительным фанатизмом к чему болеете? Или вы это просто так обсираете, ради самого процесса, без никаких идеологически-религиозных причин?

А он разве обсирает? В ЛОРовской атмосфере его сообщение - это так, лёгкое почёсывание носа :D

Анонимусы с ЛОРа жгут :) пока во всем мире практика Security through obscurity признана плохой и когда все opensource-проекты публикуют детальное описание багов, они считают, что авторы рельсов, побоявшиеся показать место с багом в коде правы :)))

Avarielf, выкладывание в паблик эксплоита и описание места уязвимости - разные вещи, учи матчасть.

Началось! Кто-то скоро пойдет лесом :)

Да нет у меня фанатизма, просто интересно иногда наблюдать, как в новости о баге в РНР приверженцы того же руби или питона нападают на php-шников а потом в аналогичной новости про багу в руби видеть практически теже отмазки уже от другой стороны ;)) Только php-шники не так у вас флеймят, ибо у них есть заботы поважней, чем мерзко гадить и радоваться бедам соседей ;))

Я не понимаю с чего такой шум. Ну вылез баг, пофиксили, имхо это всего лишь признак взросления фрейворка, это должно было рано или поздно произойти.

Непонятен только подход девелоперов - что и от кого они пытаются спрятать? Мне кажется, такой подход сильно осложнит РоРу дорогу в энтерпрайз. Или они просто боятся признать что сделали ошибку ? В общем, странно все это ...

этож поделка Ruby.. чего вы хотели? баги - это нормально!!

> Только php-шники не так у вас флеймят, ибо у них есть заботы поважней, чем мерзко гадить и радоваться бедам соседей ;))

Правильно! Ведь они фанатично набирают код. Программисты на высокоуровневых языках (Python, Ruby) делают работу в 5 раз быстрее, и в свободное время пьют пиво и тычут пальцами в быдлокодеров.

>Программисты на высокоуровневых языках (Python, Ruby) делают работу в 5 раз быстрее,

правильней вот так: кодеры на бажных языках (Python, Ruby) делают работу в 5 раз быстрее и в 5 раз более криво :))

>и в свободное время пьют пиво и тычут пальцами в быдлокодеров.

гы, и это вместо того, чтобы заняться чем-то более стоящим? ах да, сорри, у школьников же каникулы :) и они не доросли до того, чтобы с девушками мутить амуры :))

Хих... вот действительно - кричат на каждом углу про разные проПитоны-Рубины, что дескать и разрабатывать быстрее, и никаких null pointer exceptions, и мусороуборщики у них есть... а на деле получаются ляпы, сравнимые даже с гипотетическим "Си-на-шпалах". Значит языки-то гумно! Жалкие поделки на конкуренцию Перлу.

> Программисты на высокоуровневых языках (Python, Ruby) делают работу в 5 раз быстрее, и в свободное время пьют пиво и тычут пальцами в быдлокодеров.

Тру, но боян, пхп - детская перделка для девачек, как было установлено здесь: http://www.linux.org.ru/jump-message.jsp?msgid=1492835.

И хватит про этот кусок фекала, а то уже ЖОСКО ЗОПАРИЛО в пятый раз объяснять онанимным онанимусам одно и то же.

>Жалкие поделки на конкуренцию Перлу.

а дыры в перловых скриптах - это флуктуация реальности? :)

>Хих... вот действительно - кричат на каждом углу про разные проПитоны-Рубины, что дескать и разрабатывать быстрее, и никаких null pointer exceptions, и мусороуборщики у них есть... а на деле получаются ляпы, сравнимые даже с гипотетическим "Си-на-шпалах". Значит языки-то гумно! Жалкие поделки на конкуренцию Перлу.

Энтот ананимус отжигает нипадецки!

Надо-же иметь такой сильноразвитОй моск чтоб на основании бага который исключительно про рельсы и ни разу про раби сделать вывод что сам язык гумно.

Думаю до этого даже ленин не додумался-бы :D

Ф топку руби на рельсАх. ПХП форева, нах!

Ф топку ПХП. руби на рельсАх форева, нах! :P

Руби бей, питон дави,
В топку пи-эйч-пи!
Жабабыдлокодерский
Строй стальной крепи!

Эээээ.... Господин palach путает тёплое с мягким. Если уж говорить о дырах, то сравнивать надо Ruby с PHP и Ruby on Rails с, к примеру тем же , phpBB (Здесь можно привести любое приложение на PHP). В новости речь, напомню, про Ruby on Rails, а не Ruby. Соответственно, обида за любимый palach'ом PHP не в тему - он, PHP, действительно дыряв.

Что же касается Ruby on Rails, то он всяко в более выигрышном положении - если приложения на PHP страдают от криворукости программистов как собственно PHP-приложения, так и от криворукости программистов и соответствующей архитектуры PHP-интерпертатора, то у Ruby (пока) проблем с интерпретатором нет.

P.S. А программисты RoR действительно лопухнулись... :-(

повторюсь - пхп мне лично монописуален, просто забавно видеть упертый фанатизм отдельных личносетй, в одном топике орущих, что на быдлоязыке пищутся быдлоскрипты а вот у нас в XYZ все пучком, и все апликухи за4.17бись а потом в аналогичном топике про свой язык (и не нада ляля про то, что это отдельный фреймворк) используют теже отмазки, что и пехапешники - в своих :)

В данном случае всё-таки речи идёт о фреймворке под названием "Ruby on Rails" являющимся приложением написанным на языке Ruby. Так вот в данном контексте претензий к Ruby как языку нет.

А приложения, что же, посмотрите на то, что понаписано на PHP - RoR, по сравнению с ними, идеал.

Ну не надо передергивать ) RoR - это скорее фреймворк, а не приложение. Сравнимать RoR и phpBB некорректно. phpBB нужно сравнивать с форумами на Ruby, которых в природе пока что нет.

RoR можно сравнить с фреймворками для PHP - напрмиер, с PEAR.

по поводу того, что "понаписано на PHP" - так на руби вообще толком ничего еще не написано - это молодой язык. Вот когда толпа домохозяек, начитавшись хвалебных отзывов о том, как на тем просто программировать, сядет писать код, будет то же самое. Так было с PHP в свое время. Это тоже была "революция" по сравнению со сложным и неудобным Perlом. Все просто пищали от того, что можно смешивать код и данные, что <input type="text" name="a"> превращается (сам! кто бы мог подумать!) в $a, содержащую значение соответствующего типа. Тогда это было дико клево, а про SQL injection на первом курсе институтов еще не рассказывали.

подождите еще года 2 при такой жде интенсивности раскрутки RoR (есть, правда, сомения, что она будут продолжаться) - и получите то же самое.

Hi all,

I haven't been able to verify the remote code execution vulnerability, but I haven't tried very hard because I don't know much about HTTP headers or which webservers might be vulnerable. Obviously if you could add the ENV variable server-side you would be in, but that requires local access if not root or www user privileges. Plus there is the possibility that uploading via the file_column plugin, which stores things under RAILS_ROOT/public/, would remove the need to mess with the LOAD_PATH.

If anyone has been able to successfully pull it off I would be very interested to know about it. Data corruption is one thing but remote exec is quite another.

Evan

You can reply in English or German. Unfortunately I don't speak any Russian. :)

Dear Evan, if you could only know WHAT exactly this place is and what these people are speaking about, you would not have asked such questions here :))))

Good luck :)