Вышел (http://wordpress.org/development/2008/09/wordpress-262/) релиз системы управления контентом WordPress 2.6.2 в котором исправлена серьезная уязвимость, позволяющая злоумышленнику, используя спецсимволы в имени пользователя на этапе регистрации, заменить пароль для другого аккаунта в системе на случайное значение. Уязвимости подвержены релизы WordPress до версии 2.6.1 включительно.
Проблема усугубляется тем, что в коде PHP-интерпретатора обнаружена проблема, позволяющая предугадать значения выдаваемые генератором случайных чисел mt_rand(), что позволяет злоумышленнику подобрать измененный в WordPress пароль. Для защиты можно использовать модифицированный PHP-интрепретатор Suhosin, используемый для повышения безопасности, в последнем релизе которого существенно улучшена работа генератора случайных чисел.Вторая уязвимость (http://www.rorsecurity.info/2008/09/08/sql-injection-issue-i.../) связана с возможностью подстановки SQL запроса в приложения, на...
URL: http://wordpress.org/development/2008/09/wordpress-262/
Новость: http://www.opennet.me/opennews/art.shtml?num=17813
Решето!
а нормальные люди с головой дружащие - проверяют входящие данные
>а нормальные люди с головой дружащие - проверяют входящие данныеВозможно, но для и без того тормоза руби, быть еще и дырявому - непростительно. Чисто академический язык.
Ruby on Rails не язык, а фреймвок, с языком там всё нормально как и с любым другим
>Чисто академический язык.Чисто анонимная чушь.
Вы, товарищ, не видели чисто акакдемических языков. Потому что чисто академические языки в индустрии не используются (какой-либо). Ruby - хороший язык. Rails, врочем, фигня какая-то.
в рельсах will_paginate не подвержен, так что не стоит бояться если он использовался.
"If you allow open registration on your blog, you should definitely upgrade. With open registration enabled, it is possible in WordPress versions 2.6.1 and earlier ..."Ничего страшного для простого блогера.
Rails - очень хороший инструмент. Сейчас пишу на нём и не нарадуюсь! Удобно, быстро, производительно.