URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 97930
[ Назад ]

Исходное сообщение
"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."

Отправлено opennews , 19-Авг-14 04:49 
Представлены (http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_.../) корректирующие выпуски  MVC (Model-View-Controller) web-фреймворка Ruby on Rails 4.0.9 и 4.1.5, в которых устранена опасная уязвимость (https://groups.google.com/forum/#!msg/rubyonrails-security/M...) (CVE-2014-3514), которая может привести к установке произвольных атрибутов моделей. Проблема проявляется в приложениях, использующих метод create_with в Active Record, ошибка в реализации которого позволяет обойти код защиты внутренних параметров.


В качестве обходного пути защиты отмечается замена вызовов подобных "user.blog_posts.create_with(params[:blog_post]).create" на "user.blog_posts.create(params[:blog_post])" или вариант с явным перечислением разрешённых параметров - "user.blog_posts.create_with(params[:blog_post].permit(:title, :body, :etc)).create".


URL: http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40403


Содержание

Сообщения в этом обсуждении
"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено Аноним , 19-Авг-14 04:49 
Что, опять рубистам вкоммитили фикс на гитхаб через баг? :)

"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено Аноним , 19-Авг-14 09:07 
Что, опять Петросян?

"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено Аноним , 19-Авг-14 10:31 
как будто тут кто-то ещё сидит

"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено Гость , 19-Авг-14 11:38 
А с рэдмайном чё?

"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено Аноним , 19-Авг-14 12:55 
> Versions Affected:  4.0.0 and All Later Versions.
> Not affected:       Versions earlier than 4.0.0

Редмайн на третьих рельсах.


"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено Гость , 19-Авг-14 14:10 
Это хорошо :)

"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено funny_falcon , 19-Авг-14 19:23 
Причем, не аффектит, т.к. create_with еще не было. Простой create вполне себе надежен.

Вообще любопытно: уязвимость в новом, отнюдь не базовом функционале, аналогов которого, подозреваю, больше ни кого нет, и который среди пользователей рельс тоже еще большой популярности не набрал. А уже целую новость настрочили: пофикшена серьезная уязвимость!!!

Почему не пишут про исправления багов в Wordpress, Drupal, Symphony и прочем? Не ужели за последние полгода не было найдено серьезной уязвимости.

С дрегой стороны, спасибо за новость. Благодоря таким новостям пользователи замечательного фреймворка быстрее залатают откуда-то откопавшуюся уязвимость и поставят в календаре обновиться через несколько дней на исправленную версию. Благо, разработчики рельс довольно оперативно реагируют на подобные казусы.


"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено Аноним , 20-Авг-14 00:30 
Потому что любят RoR, это ведь хороше.

"Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."
Отправлено us , 21-Авг-14 16:04 
123
ewew