The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением критической уязвимости

29.01.2013 18:31

Спустя всего две недели с момента прошлой опасной уязвимости представлено корректирующее обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением очередной критической уязвимости (CVE-2013-0333), которая может привести к выполнению кода на сервере, обходу системы аутентификации и выполнению SQL-запроса. Проблема найдена в коде парсера JSON и может быть эксплуатирована при обработке специально сформированного JSON-блока c YAML-вставками. Для эксплуатации достаточно отправить любому приложению специальный HTTP POST-запрос с типом "text/json".

Интересно, что уязвимость имеет единые корни с прошлой критической проблемой, для которой был устранён лишь частный случай проявления уязвимости. Оказалось, что кроме XML блоков YAML-вставки аналогичным образом могут быть обработаны и в JSON-контенте. ActiveSupport::JSON по умолчанию используется бэкенд Yaml, который выполняет разбор через трансляцию JSON в YAML и выполнение YAML.load. При разборе строк используется метод StringScanner, заменяющий элементы JSON на эквивалентные блоки YAML, но не выполняющий полный парсинг и проверку конструкций JSON, что позволяет сформировать произвольные блоки YAML, в том числе передать и выполнить объекты с Ruby-кодом.

Всем пользователям Ruby on Rails рекомендуется незамедлительно установить обновление, так как в сети уже опубликован рабочий прототип эксплоита. Проблема проявляется в ветках 2.3.x и 3.0.x. В качестве обходного пути защиты можно переключиться на бэкенд JSONGem, указав настройках инициализации приложения ActiveSupport::JSON.backend = "JSONGem".

  1. Главная ссылка к новости (http://weblog.rubyonrails.org/...)
  2. OpenNews: В Ruby on Rails обнаружена критическая уязвимость, позволяющая выполнить код на сервере
  3. OpenNews: В Ruby on Rails устранена уязвимость, позволяющая осуществить подстановку SQL-кода
  4. OpenNews: Критическая уязвимость в Ruby on Rails
  5. OpenNews: В Ruby on Rails повторно устранена возможность подстановки SQL-кода
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/35954-ruby
Ключевые слова: ruby, rails, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (8) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Int (?), 09:23, 30/01/2013 [ответить]  
  • +/
    Кто-нибудь знает как корректно обновить рельсы под редмайном 2.0.3 ?

     
     
  • 2.2, backbone (ok), 11:36, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря как ставили, если вручную из Git, то достаточно bundle update rails.
     
     
  • 3.4, Int (?), 14:04, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Использовали образ от bitnami

    $ bundle show rails
    Could not locate Gemfile

     
     
  • 4.6, backbone (ok), 14:12, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    cd <intallation_directory>/ruby/bin/
    ./gem update rails 2.3.16

    Так рекомендуют на форуме bitnami: http://bitnami.org/forums/forums/redmine/topics/is-there-a-way-to-upgrade-rai

    Заведётся ли Redmine-2 с новыми рельсами - другой вопрос.

     
  • 2.3, Аноним (-), 12:07, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Версия редмайна привязанна к версии рельс. Версию 2.0.3 есть смысл обновить до 2.1.6 или 2.2.2.
     
     
  • 3.5, Int (?), 14:05, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Версия редмайна привязанна к версии рельс. Версию 2.0.3 есть смысл обновить до
    > 2.1.6 или 2.2.2.

    Неужели всё так плохо ? :(
    Вот что что, а сам редмайн трогать совершенно не хочется.

     
     
  • 4.8, Аноним (-), 11:56, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, есть такое дело.
    http://www.redmine.org/projects/redmine/wiki/RedmineInstall - тут есть таблица с версиями редмайна и требуемыми версиями рельс.
     

  • 1.7, pavlinux (ok), 20:40, 30/01/2013 [ответить]  
  • +/
    > рабочий прототип эксплоита.

    527 форков :)  Скрипт-кидисы лютуют!

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру