The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уязвимости

18.08.2014 23:10

Представлены корректирующие выпуски MVC (Model-View-Controller) web-фреймворка Ruby on Rails 4.0.9 и 4.1.5, в которых устранена опасная уязвимость (CVE-2014-3514), которая может привести к установке произвольных атрибутов моделей. Проблема проявляется в приложениях, использующих метод create_with в Active Record, ошибка в реализации которого позволяет обойти код защиты внутренних параметров.

В качестве обходного пути защиты отмечается замена вызовов подобных "user.blog_posts.create_with(params[:blog_post]).create" на "user.blog_posts.create(params[:blog_post])" или вариант с явным перечислением разрешённых параметров - "user.blog_posts.create_with(params[:blog_post].permit(:title, :body, :etc)).create".

  1. Главная ссылка к новости (http://weblog.rubyonrails.org/...)
  2. OpenNews: Уведомление о прекращении расширенной поддержки Ruby 1.8.7 и 1.9.2
  3. OpenNews: Релиз web-фреймворка Ruby on Rails 4.1
  4. OpenNews: Релиз Ruby 2.1.1. Языку Ruby исполнился 21 год
  5. OpenNews: Выпуск языка программирования Ruby 2.1
  6. OpenNews: Релиз web-фреймворка Ruby on Rails 4.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40403-ruby
Ключевые слова: ruby, rails
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 04:49, 19/08/2014 [ответить]  
  • +1 +/
    Что, опять рубистам вкоммитили фикс на гитхаб через баг? :)
     
     
  • 2.2, Аноним (-), 09:07, 19/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Что, опять Петросян?
     
     
  • 3.3, Аноним (-), 10:31, 19/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    как будто тут кто-то ещё сидит
     

  • 1.4, Гость (??), 11:38, 19/08/2014 [ответить]  
  • +/
    А с рэдмайном чё?
     
     
  • 2.5, Аноним (-), 12:55, 19/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Versions Affected:  4.0.0 and All Later Versions.
    > Not affected:       Versions earlier than 4.0.0

    Редмайн на третьих рельсах.

     
     
  • 3.6, Гость (??), 14:10, 19/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это хорошо :)
     
  • 3.7, funny_falcon (?), 19:23, 19/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Причем, не аффектит, т.к. create_with еще не было. Простой create вполне себе надежен.

    Вообще любопытно: уязвимость в новом, отнюдь не базовом функционале, аналогов которого, подозреваю, больше ни кого нет, и который среди пользователей рельс тоже еще большой популярности не набрал. А уже целую новость настрочили: пофикшена серьезная уязвимость!!!

    Почему не пишут про исправления багов в Wordpress, Drupal, Symphony и прочем? Не ужели за последние полгода не было найдено серьезной уязвимости.

    С дрегой стороны, спасибо за новость. Благодоря таким новостям пользователи замечательного фреймворка быстрее залатают откуда-то откопавшуюся уязвимость и поставят в календаре обновиться через несколько дней на исправленную версию. Благо, разработчики рельс довольно оперативно реагируют на подобные казусы.

     
     
  • 4.8, Аноним (-), 00:30, 20/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что любят RoR, это ведь хороше.
     

  • 1.9, us (??), 16:04, 21/08/2014 [ответить]  
  • +/


    123
    ewew


     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру