Критические обновления Ruby

2 комментария

ruby_on_railsНедавно разработчики Ruby on Rails оперативно выпустили критические обновления фреймворка до версий 3.2.11, 3.1.12 и 2.3.17, одновременно с этим выпущена новая версия JSON gem.
Найденные уязвимости:
CVE-2013-0276 (Ruby on Rails 3.2.12, 3.1.11, 2.3.17) — изменение защищенных атрибутов,
CVE-2013-0277 (Ruby on Rails .3.17) — инициация выполнения объектов с Ruby-кодом,
CVE-2013-0269 (JSON gem 1.7.7, 1.6.8, 1.5.5) — DoS-атаки, массовые SQL-инъекций.

CVE-2013-0276 речь идёт об уязвимости в методе attr_protected в библиотеке ActiveRecord. Данный метод предназначен для записи списка атрибутов, которые нельзя присваивать конкретной модели. Используя специальным образом составленный запрос, злоумышленник может обойти это ограничение и изменить значения, которые предполагалось защитить. Единственной «защитой» для уязвимых версий является отказ от метода attr_protected в пользу метода attr_accessible.
CVE-2013-0277) обусловлена недоработкой в коде сериализации данных в ActiveRecord, который позволяет при разборе сериализированных полей распаковать и обработать произвольный блок YAML. Как и в ситуации с ранее исправленными в этом году уязвимостями, передав специально оформленную последовательность YAML атакующий может инициировать выполнение объектов с Ruby-кодом.

Источник 1 http://www.xakep.ru/post/60102/
Источник 2 http://www.opennet.ru/opennews/art.shtml?num=36096

Possibly Related Posts:


Эксперт сообщества Сергей Фирсов

Рубрика: bugtracking, информационная безопасность, Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

2 Отзывов на «Критические обновления Ruby»


  1. Фёдор

    Найденный уязвимости )) Улыбнуло….

  2. Сергей Фирсов

    Спасибо, исправил. )))