The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Ruby on Rails устранена уязвимость, допускающая подстановку SQL-кода"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Ruby on Rails устранена уязвимость, допускающая подстановку SQL-кода"  +/
Сообщение от opennews (??), 20-Янв-23, 13:20 
Опубликованы корректирующие обновления фреймворка  Ruby on  Rails 7.0.4.1, 6.1.7.1 и 6.0.6.1, в которых устранено 6 уязвимостей. Наиболее опасная уязвимость (CVE-2023-22794) может привести к выполнению заданных атакующим SQL-команд при использовании внешних данных в комментариях, обрабатываемых в ActiveRecord. Проблема вызвана отсутствием необходимого экранирования спецсимволов в комментариях перед их сохранением в СУБД...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58519

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +2 +/
Сообщение от Аноним (1), 20-Янв-23, 13:20 
> ActiveRecord
> Проблема вызвана отсутствием необходимого экранирования

Но как, Бэрримор?

Ответить | Правка | Наверх | Cообщить модератору

2. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  –1 +/
Сообщение от хрю (?), 20-Янв-23, 13:28 
Подросло поколение не знающих, что такое SQL инъекции? Они же бичЪ php.
Ответить | Правка | Наверх | Cообщить модератору

6. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  –1 +/
Сообщение от Аноним (6), 20-Янв-23, 13:53 
помню в нулевые чуть ли не каждый второй сайт на пыхе имел это. Проверять можно было тупо подставляя апостроф в конец айдишника урла, типа news.php?id=123'. Обычно приводило к ошибкам mysql и headers already sent. Далее опционально можно было вводить остальную часть запроса, на античате выкладывали готовые методички, как действовать дальше в зависимости от ответа сервера.
Ответить | Правка | Наверх | Cообщить модератору

12. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от хрю (?), 20-Янв-23, 14:28 
20 лет назад, наспор ломал любой порнушный сайт :-))) ибо они были все написаны студентами на 3 php в понятно каком стиле.
Ответить | Правка | Наверх | Cообщить модератору

17. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +6 +/
Сообщение от Порнушник (?), 20-Янв-23, 15:56 
Так вот кто мне сайт в 2002 году сломал? Ирод, окаянный!
Ответить | Правка | Наверх | Cообщить модератору

23. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +3 +/
Сообщение от Бывалый смузихлёб (?), 20-Янв-23, 16:22 
вот из-за кого с тех пор количество годных прон-сайтов в рунете сильно поубавилось!
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

26. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Аноним (26), 20-Янв-23, 16:57 
я в 2002 году начинал писать на php, повсеместно уже был php4, php3 было найти не так просто :) проще сайты на perl было найти :)
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

9. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +2 +/
Сообщение от Аноним (1), 20-Янв-23, 14:07 
Кажется, кто-то не вкурил, что такое ActiveRecord и об чём был пост.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +2 +/
Сообщение от хрю (?), 20-Янв-23, 14:25 
В рельсах реализация шаблона ActiveRecord, называется, внезапно, ActiveRecord.
Ответить | Правка | Наверх | Cообщить модератору

19. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Порнушник (?), 20-Янв-23, 15:57 
Раз они такие умные чего дыру у себя сделали тогда? Не нужны нам эти ваши руби.
Ответить | Правка | Наверх | Cообщить модератору

3. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от mos87 (ok), 20-Янв-23, 13:37 
Little Bobby Tables strikes again.

зато Ruby крутой, для ценителей ёпт.

Ответить | Правка | Наверх | Cообщить модератору

4. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Вечно недовольный аноним (?), 20-Янв-23, 13:40 
А что полезного написано с РоРом кроме дисковода из соседней новости? Я думал вебом управляет питон и вордпресс, помогите просветиться.
Ответить | Правка | Наверх | Cообщить модератору

5. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +1 +/
Сообщение от Васян (?), 20-Янв-23, 13:46 
GitHub пойдёт?

Twitch, SoundCloud, Airbnb......

Ответить | Правка | Наверх | Cообщить модератору

8. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +1 +/
Сообщение от Аноним (8), 20-Янв-23, 13:55 
Кто-то в трезвом уме пользуется GitHub-ом?!
Ответить | Правка | Наверх | Cообщить модератору

14. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +2 +/
Сообщение от Васян (?), 20-Янв-23, 15:16 
Так, немного, 70 миллионов всего... Вот лохи, правда? Зашли бы на опеннет, тут бы им быстро и авторитетно растолковали всю глубину их невежества...
Ответить | Правка | Наверх | Cообщить модератору

20. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +2 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Янв-23, 15:58 
И сколько из 70 Лямов там Гуанахуато на жс каком-нибудь или зеркал?
Ответить | Правка | Наверх | Cообщить модератору

15. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Вечно недовольный аноним (?), 20-Янв-23, 15:21 
А гитхаб уже хакнули?
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

16. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +1 +/
Сообщение от Аноним (16), 20-Янв-23, 15:52 
Вроде как их уже хакали по рельсам.
Ответить | Правка | Наверх | Cообщить модератору

36. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +1 +/
Сообщение от Аноним (36), 21-Янв-23, 00:11 
Гитхаб в 2012 эпично хакнули залив пулл-реквест в репу РоРа с исправлением эксплойта, благодаря которому хак был возможен.
https://arstechnica.com/information-technology/2012/03/hacke.../
Ответить | Правка | Наверх | Cообщить модератору

40. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Янв-23, 01:15 
> Гитхаб в 2012 эпично хакнули залив пулл-реквест в репу РоРа с исправлением
> эксплойта, благодаря которому хак был возможен.
> https://arstechnica.com/information-technology/2012/03/hacke.../

Да, помню эту историю, Хомяков красавчик.

Ответить | Правка | Наверх | Cообщить модератору

43. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Аноним (43), 21-Янв-23, 10:12 
Да https://www.opennet.me/opennews/art.shtml?num=33268
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

18. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Янв-23, 15:57 
github enterprise жрет как в не себя
SoundCloud во всю на go перешёл
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от хрю (?), 20-Янв-23, 14:33 
Не знаю как сейчас, но вроде одно время сайт нетфликс был на рельсе (остатки былого https://github.com/Netflix/fast_jsonapi). В одно время рельса была прям жутко популярна.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

24. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Бывалый смузихлёб (?), 20-Янв-23, 16:32 
> В одно время рельса была прям жутко популярна.

В одно, очень небольшое время. Но оно показало, насколько заказчики в среднем ослы - без каких-либо внятных обоснований, когда рубин-на-рельсах был на слуху, требовали пилить бэк именно на нём, а не на каком-то там пыхе или питоне
В итоге, многие сейчас в поту бегают и ищут хоть кого-то на поддержку своих говносерверов

Складывается ощущение, что энная группа лиц или ИТ-контор специально предварительно раскурила р-н-р, после - пустила мощный медийный шум и срубила очень славные деньги на разработке на этом, пока остальные только расшевеливались в изучении этих отходов, а самые денежные и модные заказчики - уже требовали срочно забрать все их деньги и сделать хоть что-то на этом б-жественном непойми чём.
Ну а то что по всяким хренабрам и его последователям славный шум разошёлся - так такова участь придатков западных инфоканалов. Они всегда будут лишь догоняющими холопами, а заказчики их - влезающими в д.мо по самые уши, ведь никто из адептов-пейсателей восторженных статеек по теме великого и крутого рубина-на-рельсах абсолютно ни за что не отвечает в плане издержек конечного заказчика из-за рубина, внезапно превратившегося в тыкву

Ответить | Правка | Наверх | Cообщить модератору

44. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  –2 +/
Сообщение от хрю (?), 22-Янв-23, 16:02 
>> Но оно показало, насколько заказчики в среднем ослы

Почему ослы? Им надо быстро выйти на рынок и занять нишу и получить инвестиции, что будет потом и будет ли это потом дело десятое. В своё время рельса была в этом деле тру. Ниша занята, инвестиционное быбло получено, можно нанимать нормальных разрабов, думать и пилить.  

Ответить | Правка | Наверх | Cообщить модератору

46. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  –1 +/
Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 16:35 
>>> Но оно показало, насколько заказчики в среднем ослы
> Почему ослы? Им надо быстро выйти на рынок и занять нишу и
> получить инвестиции, что будет потом и будет ли это потом дело
> десятое. В своё время рельса была в этом деле тру. Ниша
> занята, инвестиционное быбло получено, можно нанимать нормальных разрабов, думать и пилить.

Они бы это и с супер развитым пыхом могли запросто, но там даже не ниша, а тупо разработка под заказ и конечный результат участников вообще не волнует
А по рубину на рельсах - не было ничего, кроме пачки влажных розовых статеек на х*бре

Ответить | Правка | Наверх | Cообщить модератору

22. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от ShpurloS (?), 20-Янв-23, 16:04 
Redmine
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

25. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 20-Янв-23, 16:55 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

31. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Petya (??), 20-Янв-23, 20:23 
Навскидку Github, Gitlab, Stripe, Zendesk, Upwork, Kickstarter, Mastodon, Twitter, Netflix. Много где используется. Смотрел статистику стартапов-единорогов(которые выросли в итоге в миллиардные бизнесы) из долины и на каком стеке изначально они поднимались. Так там добрая половина проектов была именно на RoR. не пхп, не питон, а именно рельсы, меня это удивило.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

35. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Янв-23, 23:36 
Twitter разве не на скале?
Ответить | Правка | Наверх | Cообщить модератору

37. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Аноним (36), 21-Янв-23, 00:15 
Его потом кусками переписывали на микросервисы на Скале, изначально он на рельсах работал.
Ответить | Правка | Наверх | Cообщить модератору

38. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Янв-23, 01:11 
> Его потом кусками переписывали на микросервисы на Скале, изначально он на рельсах
> работал.

Значит надо так и писать, что использовался.

Ответить | Правка | Наверх | Cообщить модератору

10. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Аноним (10), 20-Янв-23, 14:09 
Ну вот нахрена устранили, ведь так удобненько было!
Ответить | Правка | Наверх | Cообщить модератору

21. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Янв-23, 16:00 
Поезд сошёл с рельс. Быстро хайп прошёл. Лозунг программист дороже железа забыт. Вот так вот сынки.
Ответить | Правка | Наверх | Cообщить модератору

32. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Аноним (32), 20-Янв-23, 22:18 
> Лозунг программист дороже железа забыт.

ну да.... То то сейчас по рейтингам популярности питон на первом месте, хотя ни эффективности в скорости написания кода в сравнении с Руби, ни эффективности выполнения не имеет.

Ответить | Правка | Наверх | Cообщить модератору

39. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Янв-23, 01:13 
>> Лозунг программист дороже железа забыт.
> ну да.... То то сейчас по рейтингам популярности питон на первом месте,
> хотя ни эффективности в скорости написания кода в сравнении с Руби,
> ни эффективности выполнения не имеет.

Для питона куча биндингов и либ. А когда дело доходит до цены за ресурсы, то с него уходят на другие инструменты.

Ответить | Правка | Наверх | Cообщить модератору

42. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +1 +/
Сообщение от Аноним (32), 21-Янв-23, 08:44 
> Для питона куча биндингов и либ. А когда дело доходит до цены за ресурсы, то с него уходят на другие инструменты.

Совершенно верно, питону в вебе не место. Хотя, сложно вообще найти применение питону кроме как какие-то скриптики конфигурирования чего-то или копирования файлов

Ответить | Правка | Наверх | Cообщить модератору

27. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  –2 +/
Сообщение от Аноним (27), 20-Янв-23, 16:58 
Не знаю Ruby и шаблон ActiveRecord, но предпочитаю prepared statement  экранированию.
Подготовленные запросы заведомо более безопасны, чем экранирование
Ответить | Правка | Наверх | Cообщить модератору

30. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  –1 +/
Сообщение от Аноним (30), 20-Янв-23, 19:56 
Руби (РоР) любят за понятный человеку ближе синтаксис.
Ответить | Правка | Наверх | Cообщить модератору

41. "В Ruby on Rails устранена уязвимость, допускающая подстановк..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Янв-23, 01:18 
> Руби (РоР) любят за понятный человеку ближе синтаксис.

У тебя syntax error

Руби (РоР) любят за понятный человеку ближе синтаксис end

Поправил, не благодари.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру