The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость во фреймворке Ruby on Rails "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от opennews on 18-Авг-11, 09:21 
Представлены корректирующие выпуски web-фреймворка Ruby on Rails  2.3.14 (http://weblog.rubyonrails.org/2011/8/16/ann-rails-2-3-14) и 3.0.10 (http://weblog.rubyonrails.org/2011/8/16/ann-rails-3-0-10), в которых устранено 5 уязвимостей (http://secunia.com/advisories/45648/). Одна из уязвимостей (http://groups.google.com/group/rubyonrails-security/browse_t...), связанная с недостаточной проверкой внешних значений, обрабатываемых методом "quote_table_name", может быть использована для подстановки SQL-кода и получения полного контроля над БД сайта.


Дополнительно исправлены две (http://groups.google.com/group/rubyonrails-security/browse_t...) недоработки (http://groups.google.com/group/rubyonrails-security/browse_t...), позволяющие осуществить подстановку JavaScript-блоков на сайт (межсайтовый скриптинг). Одна ошибка позволяет (http://groups.google.com/group/rubyonrails-security/browse_t......

URL: http://weblog.rubyonrails.org/2011/8/16/ann-rails-2-3-14
Новость: http://www.opennet.me/opennews/art.shtml?num=31523

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от KO on 18-Авг-11, 09:21 
Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла или отсутствие таких сайтов?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Критическая уязвимость во фреймворке Ruby on Rails "  +2 +/
Сообщение от Аноним (??) on 18-Авг-11, 10:10 
SQL-инъекциях? Про SQL-инфекции я тоже давненько не слыхал.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Критическая уязвимость во фреймворке Ruby on Rails "  +1 +/
Сообщение от Аноним (??) on 18-Авг-11, 11:54 
> Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла
> или отсутствие таких сайтов?

Это особенность модулей DBI, при использовании которых можно написать скрипт с наличием инъекции только специально сильно этого захотев.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от rshadow (ok) on 18-Авг-11, 14:07 
Это особенность высокого порога вхождения
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Критическая уязвимость во фреймворке Ruby on Rails "  –3 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 18-Авг-11, 18:07 
уже +20 лет не видел сайты на перл. мб по этому не слышал об инъекциях?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Критическая уязвимость во фреймворке Ruby on Rails "  +1 +/
Сообщение от myc on 18-Авг-11, 20:36 
немалая часть проектов yandex, mail.ru, rambler работает на перле.
мало?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Критическая уязвимость во фреймворке Ruby on Rails "  +1 +/
Сообщение от Аноним (??) on 18-Авг-11, 21:59 
> уже +20 лет не видел сайты на перл. мб по этому не
> слышал об инъекциях?

opennet на perl - http://www.opennet.me/guide.shtml#hw

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от ы on 19-Авг-11, 12:28 
> уже +20 лет не видел сайты на перл.

это связно с тем, что очень многие люди не видят того, что находится у них перед их носом. :)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от sugar on 21-Авг-11, 00:44 
У нашей конторы все проекты на Perl, фреймворке Mojolicious - http://mojolicio.us/
Пишем, сдаем, не жалуемся.
Кстати, фреймворк, упомянутый мной, отличная альтернатива рельсам на перле.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

5. "Критическая уязвимость во фреймворке Ruby on Rails "  +1 +/
Сообщение от бедный буратино (ok) on 18-Авг-11, 10:40 
Это что, пока обновление из Debian не выйдет, дебиановский redmine лучше гасить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от UbuntoidLinuxoid on 18-Авг-11, 17:40 
В redmine уязвимостей нет. Были уязвимости в рельсах. Обновлять надо рельсы.
Когда будем читать то что написано, а не то что хочется?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от northbear (??) on 18-Авг-11, 17:45 
Редмайн в паблик лучше не выставлять... Он сам по себе довольно коряво написан.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от re on 18-Авг-11, 11:25 
что такое дебианевский редмине?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от бедный буратино (ok) on 18-Авг-11, 11:34 
> что такое дебианевский редмине?

Redmine из стандартного комплекта Debian. В Debian rails 2.3.5

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от re on 18-Авг-11, 11:43 
>> что такое дебианевский редмине?
> Redmine из стандартного комплекта Debian. В Debian rails 2.3.5

благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от бедный буратино (ok) on 18-Авг-11, 11:45 
> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)

Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не касается, а может быть - спят ещё.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от re on 18-Авг-11, 12:02 
>> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)
> Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь
> волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не
> касается, а может быть - спят ещё.

на oneiric есть такой но инстал не делал, и без него вроде всегда обхожусь

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от Ivan1986 email on 18-Авг-11, 14:05 
в oneiric оно поломано :(
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

7. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от Аноним (??) on 18-Авг-11, 11:28 
Что такое редмине?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Критическая уязвимость во фреймворке Ruby on Rails "  +/
Сообщение от re on 18-Авг-11, 11:33 
> Что такое редмине?

redmine

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру