The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +/
Сообщение от opennews (??) on 12-Фев-13, 21:33 
Представлены (http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12.../) корректирующие выпуски Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 в которых устранены две уязвимости (http://permalink.gmane.org/gmane.comp.security.oss.general/9351):


-  Первая уязвимость (CVE-2013-0277 (https://groups.google.com/forum/?fromgroups=#!topic/rubyonra...)) обусловлена недоработкой в коде сериализации данных в ActiveRecord, который позволяет при разборе сериализированных полей распаковать и обработать произвольный блок YAML. Как и в ситуации с ранее исправленными в этом году уязвимостями (http://www.opennet.me/opennews/art.shtml?num=35954), передав специально оформленную последовательность YAML атакующий может инициировать выполнение объектов с Ruby-кодом.

-  Вторая уязвимость (CVE-2013-0276 (https://groups.google.com/forum/?fromgroups=#!topic/rubyonra...)) связана ошибкой в реализации метода "attr_protected" в  ActiveRecord, который не полностью ограничивает доступ к закрытым атрибутам, что позволяет атакующему изменить запрещённые для изменения параметры через отправку специально оформленного запроса. Проблема проявляется только при использовании в приложении метода "attr_protected".


URL: http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12.../
Новость: http://www.opennet.me/opennews/art.shtml?num=36096

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +4 +/
Сообщение от Аноним (??) on 12-Фев-13, 21:33 
Это уже не смешно, c начала года в RoR стабильно каждые две недели находят критические дыры, позволяющие выполнить код.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +/
Сообщение от ВовкаОсиист (ok) on 12-Фев-13, 22:00 
не смешнее было б, если бы не выходили обновления с устранением проблем безопасности(см жава).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +/
Сообщение от kosha on 12-Фев-13, 23:32 
Чем выше популярность, тем больше интерес к информации обрабатываемой фреймворком (поиск дыр). Банально.
Кстати, сегодня на форуме прочитал, что гитхаб в последнее время тоже регулярно стал недоступен, тоже ведь на RoR.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +1 +/
Сообщение от Аноним (??) on 13-Фев-13, 00:03 
Проблема не в активном поиске дыр, а в том, что уже четвёртый раз не могут полностью залатать _одну_ дыру. Лишь прикрывают следствия и внешние проявления, не устраняя причину. В этот раз ничего не изменилось, через неделю  опять кто-нибудь найдет новый способ как пропихнуть для обработки в ActiveRecord YAML и всё повторится.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +1 +/
Сообщение от Аноним (??) on 13-Фев-13, 13:55 
А вы думали что выполнение кода возможно только через переполнение буфферов? Ха-ха, наивные чукотские юноши таки получили то чего заслуживали.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +1 +/
Сообщение от V (??) on 12-Фев-13, 21:52 
http://www.didrailshaveamajorsecurityflawtoday.com/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +2 +/
Сообщение от evgeny_t (??) on 12-Фев-13, 21:59 
это не уязвимость а позорное программирование )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +/
Сообщение от Аноним (??) on 13-Фев-13, 14:31 
> это не уязвимость а позорное программирование )

Сделай лучше, фуле. Код открыт. Форкни и почини. А то песдеть все горазды.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +/
Сообщение от Аноним (??) on 12-Фев-13, 22:27 
Интересно, уязвимости на Github'е тестируют?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  –1 +/
Сообщение от бедный буратино (ok) on 13-Фев-13, 02:50 
Rails хочет занять место php? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +1 +/
Сообщение от Аноним (??) on 13-Фев-13, 06:22 
По количеству уязвимостей в последнее время рельсы успешно соревнуются с джаво-плагиом и флешем.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."  +/
Сообщение от бедный буратино (ok) on 13-Фев-13, 09:06 
Уязвимость-то одна, но они её так бережно переносят из версии в версию, дабы не сломать. :)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру