LINUX.ORG.RU

Обнаружена критическая уязвимость в Ruby on Rails

 , ,


0

2

В популярном фреймворке для создания веб-приложений Ruby on Rails обнаружена критическая уязвимость. Проблема выявлена в коде, обрабатывающем параметры HTTP-запроса. Из-за непродуманного автоматического приведения типов в обработчике формата XML у злоумышленника есть возможность обойти систему авторизации, выполнить внедрение SQL-кода, выполнить произвольный код и совершить DoS-атаку приложения.

Уязвимость устранена в следующих версиях: 3.2.11, 3.1.10, 3.0.19, 2.3.15. Во всех остальных версиях уязвимость присутствует, и всем пользователям рекомендовано обновиться. Также в сообщении об уязвимости указано несколько способов отключить проблемный обработчик.

Напоминаем, что совсем недавно (3-го января) в RoR была обнаружена другая критическая уязвимость, позволяющая выполнить внедрение SQL-кода.

Подробный анализ уязвимости

>>> Сообщение об обнаружении уязвимости (CVE-2013-0156)

★★★★★

Проверено: maxcom ()
Последнее исправление: tazhate (всего исправлений: 5)

вот интересно..это специально обученные люди приходят на работу к 9.00, чтобы до 18.00 сидеть и искать уязвимости? Всегда было интересно, как выглядит работы таких контор.

Batters
()
Ответ на: комментарий от Batters

специально обученные люди приходят на работу к 9.00, чтобы до 18.00 сидеть и искать уязвимости

Офисный планктон закукарекал.

anonymous
()
Ответ на: комментарий от Batters

Да, в банках обычно так. Другие конторы, бывает, что и по удалёнке нанимают. Где как.

Oleaster ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.