URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 79805
[ Назад ]
Исходное сообщение
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено opennews , 18-Авг-11 09:21 
Представлены корректирующие выпуски web-фреймворка Ruby on Rails  2.3.14 (http://weblog.rubyonrails.org/2011/8/16/ann-rails-2-3-14) и 3.0.10 (http://weblog.rubyonrails.org/2011/8/16/ann-rails-3-0-10), в которых устранено 5 уязвимостей (http://secunia.com/advisories/45648/). Одна из уязвимостей (http://groups.google.com/group/rubyonrails-security/browse_t...), связанная с недостаточной проверкой внешних значений, обрабатываемых методом "quote_table_name", может быть использована для подстановки SQL-кода и получения полного контроля над БД сайта.


Дополнительно исправлены две (http://groups.google.com/group/rubyonrails-security/browse_t...) недоработки (http://groups.google.com/group/rubyonrails-security/browse_t...), позволяющие осуществить подстановку JavaScript-блоков на сайт (межсайтовый скриптинг). Одна ошибка позволяет (http://groups.google.com/group/rubyonrails-security/browse_t......

URL: http://weblog.rubyonrails.org/2011/8/16/ann-rails-2-3-14
Новость: http://www.opennet.me/opennews/art.shtml?num=31523

Содержание
Сообщения в этом обсуждении
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено KO , 18-Авг-11 09:21 
Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла или отсутствие таких сайтов?
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено Аноним , 18-Авг-11 10:10 
SQL-инъекциях? Про SQL-инфекции я тоже давненько не слыхал.
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено Аноним , 18-Авг-11 11:54 
> Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла
> или отсутствие таких сайтов?

Это особенность модулей DBI, при использовании которых можно написать скрипт с наличием инъекции только специально сильно этого захотев.

"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено rshadow , 18-Авг-11 14:07 
Это особенность высокого порога вхождения
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено all_glory_to_the_hypnotoad , 18-Авг-11 18:07 
уже +20 лет не видел сайты на перл. мб по этому не слышал об инъекциях?
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено myc , 18-Авг-11 20:36 
немалая часть проектов yandex, mail.ru, rambler работает на перле.
мало?
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено Аноним , 18-Авг-11 21:59 
> уже +20 лет не видел сайты на перл. мб по этому не
> слышал об инъекциях?

opennet на perl - http://www.opennet.me/guide.shtml#hw

"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено ы , 19-Авг-11 12:28 
> уже +20 лет не видел сайты на перл.

это связно с тем, что очень многие люди не видят того, что находится у них перед их носом. :)

"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено sugar , 21-Авг-11 00:44 
У нашей конторы все проекты на Perl, фреймворке Mojolicious - http://mojolicio.us/
Пишем, сдаем, не жалуемся.
Кстати, фреймворк, упомянутый мной, отличная альтернатива рельсам на перле.
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено бедный буратино , 18-Авг-11 10:40 
Это что, пока обновление из Debian не выйдет, дебиановский redmine лучше гасить?
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено UbuntoidLinuxoid , 18-Авг-11 17:40 
В redmine уязвимостей нет. Были уязвимости в рельсах. Обновлять надо рельсы.
Когда будем читать то что написано, а не то что хочется?
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено northbear , 18-Авг-11 17:45 
Редмайн в паблик лучше не выставлять... Он сам по себе довольно коряво написан.
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено re , 18-Авг-11 11:25 
что такое дебианевский редмине?
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено бедный буратино , 18-Авг-11 11:34 
> что такое дебианевский редмине?

Redmine из стандартного комплекта Debian. В Debian rails 2.3.5

"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено re , 18-Авг-11 11:43 
>> что такое дебианевский редмине?
> Redmine из стандартного комплекта Debian. В Debian rails 2.3.5

благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)

"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено бедный буратино , 18-Авг-11 11:45 
> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)

Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не касается, а может быть - спят ещё.

"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено re , 18-Авг-11 12:02 
>> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)
> Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь
> волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не
> касается, а может быть - спят ещё.

на oneiric есть такой но инстал не делал, и без него вроде всегда обхожусь

"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено Ivan1986 , 18-Авг-11 14:05 
в oneiric оно поломано :(
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено Аноним , 18-Авг-11 11:28 
Что такое редмине?
"Критическая уязвимость во фреймворке Ruby on Rails "
Отправлено re , 18-Авг-11 11:33 
> Что такое редмине?

redmine