форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+/–
Сообщение от opennews (??) on 12-Фев-13, 21:33
Представлены (http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12.../) корректирующие выпуски Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 в которых устранены две уязвимости (http://permalink.gmane.org/gmane.comp.security.oss.general/9351): -  Первая уязвимость (CVE-2013-0277 (https://groups.google.com/forum/?fromgroups=#!topic/rubyonra...)) обусловлена недоработкой в коде сериализации данных в ActiveRecord, который позволяет при разборе сериализированных полей распаковать и обработать произвольный блок YAML. Как и в ситуации с ранее исправленными в этом году уязвимостями (http://www.opennet.me/opennews/art.shtml?num=35954), передав специально оформленную последовательность YAML атакующий может инициировать выполнение объектов с Ruby-кодом. -  Вторая уязвимость (CVE-2013-0276 (https://groups.google.com/forum/?fromgroups=#!topic/rubyonra...)) связана ошибкой в реализации метода "attr_protected" в  ActiveRecord, который не полностью ограничивает доступ к закрытым атрибутам, что позволяет атакующему изменить запрещённые для изменения параметры через отправку специально оформленного запроса. Проблема проявляется только при использовании в приложении метода "attr_protected". URL: http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12.../ Новость: http://www.opennet.me/opennews/art.shtml?num=36096
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+4 +/–
Сообщение от Аноним (??) on 12-Фев-13, 21:33
Это уже не смешно, c начала года в RoR стабильно каждые две недели находят критические дыры, позволяющие выполнить код.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+/–
	Сообщение от ВовкаОсиист (ok) on 12-Фев-13, 22:00
	не смешнее было б, если бы не выходили обновления с устранением проблем безопасности(см жава).
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	8. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+/–
	Сообщение от kosha on 12-Фев-13, 23:32
	Чем выше популярность, тем больше интерес к информации обрабатываемой фреймворком (поиск дыр). Банально. Кстати, сегодня на форуме прочитал, что гитхаб в последнее время тоже регулярно стал недоступен, тоже ведь на RoR.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+1 +/–
	Сообщение от Аноним (??) on 13-Фев-13, 00:03
	Проблема не в активном поиске дыр, а в том, что уже четвёртый раз не могут полностью залатать _одну_ дыру. Лишь прикрывают следствия и внешние проявления, не устраняя причину. В этот раз ничего не изменилось, через неделю  опять кто-нибудь найдет новый способ как пропихнуть для обработки в ActiveRecord YAML и всё повторится.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+1 +/–
	Сообщение от Аноним (??) on 13-Фев-13, 13:55
	А вы думали что выполнение кода возможно только через переполнение буфферов? Ха-ха, наивные чукотские юноши таки получили то чего заслуживали.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+1 +/–
Сообщение от V (??) on 12-Фев-13, 21:52
http://www.didrailshaveamajorsecurityflawtoday.com/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+2 +/–
Сообщение от evgeny_t (??) on 12-Фев-13, 21:59
это не уязвимость а позорное программирование )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+/–
	Сообщение от Аноним (??) on 13-Фев-13, 14:31
	> это не уязвимость а позорное программирование ) Сделай лучше, фуле. Код открыт. Форкни и почини. А то песдеть все горазды.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+/–
Сообщение от Аноним (??) on 12-Фев-13, 22:27
Интересно, уязвимости на Github'е тестируют?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	–1 +/–
Сообщение от бедный буратино (ok) on 13-Фев-13, 02:50
Rails хочет занять место php? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+1 +/–
	Сообщение от Аноним (??) on 13-Фев-13, 06:22
	По количеству уязвимостей в последнее время рельсы успешно соревнуются с джаво-плагиом и флешем.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени..."	+/–
	Сообщение от бедный буратино (ok) on 13-Фев-13, 09:06
	Уязвимость-то одна, но они её так бережно переносят из версии в версию, дабы не сломать. :)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема