Критические обновления Ruby
Недавно разработчики Ruby on Rails оперативно выпустили критические обновления фреймворка до версий 3.2.11, 3.1.12 и 2.3.17, одновременно с этим выпущена новая версия JSON gem.
Найденные уязвимости:
CVE-2013-0276 (Ruby on Rails 3.2.12, 3.1.11, 2.3.17) — изменение защищенных атрибутов,
CVE-2013-0277 (Ruby on Rails .3.17) — инициация выполнения объектов с Ruby-кодом,
CVE-2013-0269 (JSON gem 1.7.7, 1.6.8, 1.5.5) — DoS-атаки, массовые SQL-инъекций.
CVE-2013-0276 речь идёт об уязвимости в методе attr_protected в библиотеке ActiveRecord. Данный метод предназначен для записи списка атрибутов, которые нельзя присваивать конкретной модели. Используя специальным образом составленный запрос, злоумышленник может обойти это ограничение и изменить значения, которые предполагалось защитить. Единственной «защитой» для уязвимых версий является отказ от метода attr_protected в пользу метода attr_accessible.
CVE-2013-0277) обусловлена недоработкой в коде сериализации данных в ActiveRecord, который позволяет при разборе сериализированных полей распаковать и обработать произвольный блок YAML. Как и в ситуации с ранее исправленными в этом году уязвимостями, передав специально оформленную последовательность YAML атакующий может инициировать выполнение объектов с Ruby-кодом.
Источник 1 http://www.xakep.ru/post/60102/
Источник 2 http://www.opennet.ru/opennews/art.shtml?num=36096
Найденный уязвимости )) Улыбнуло….
Спасибо, исправил. )))