forum.opennet.ru - "Критическая уязвимость во фреймворке Ruby on Rails " (20)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Критическая уязвимость во фреймворке Ruby on Rails "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость во фреймворке Ruby on Rails "	+/–
Сообщение от opennews on 18-Авг-11, 09:21
Представлены корректирующие выпуски web-фреймворка Ruby on Rails 2.3.14 (http://weblog.rubyonrails.org/2011/8/16/ann-rails-2-3-14) и 3.0.10 (http://weblog.rubyonrails.org/2011/8/16/ann-rails-3-0-10), в которых устранено 5 уязвимостей (http://secunia.com/advisories/45648/). Одна из уязвимостей (http://groups.google.com/group/rubyonrails-security/browse_t...), связанная с недостаточной проверкой внешних значений, обрабатываемых методом "quote_table_name", может быть использована для подстановки SQL-кода и получения полного контроля над БД сайта. Дополнительно исправлены две (http://groups.google.com/group/rubyonrails-security/browse_t...) недоработки (http://groups.google.com/group/rubyonrails-security/browse_t...), позволяющие осуществить подстановку JavaScript-блоков на сайт (межсайтовый скриптинг). Одна ошибка позволяет (http://groups.google.com/group/rubyonrails-security/browse_t...... URL: http://weblog.rubyonrails.org/2011/8/16/ann-rails-2-3-14 Новость: https://www.opennet.ru/opennews/art.shtml?num=31523
Ответить \| Правка \| Cообщить модератору

Оглавление

Критическая уязвимость во фреймворке Ruby on Rails , KO, 09:21 , 18-Авг-11, (1)

Критическая уязвимость во фреймворке Ruby on Rails , Аноним, 10:10 , 18-Авг-11, (3) +2
Критическая уязвимость во фреймворке Ruby on Rails , Аноним, 11:54 , 18-Авг-11, (12) +1
Критическая уязвимость во фреймворке Ruby on Rails , rshadow, 14:07 , 18-Авг-11, (16)
Критическая уязвимость во фреймворке Ruby on Rails , all_glory_to_the_hypnotoad, 18:07 , 18-Авг-11, (21) –3

Критическая уязвимость во фреймворке Ruby on Rails , myc, 20:36 , 18-Авг-11, (22) +1
Критическая уязвимость во фреймворке Ruby on Rails , Аноним, 21:59 , 18-Авг-11, (23) +1
Критическая уязвимость во фреймворке Ruby on Rails , ы, 12:28 , 19-Авг-11, (24)
Критическая уязвимость во фреймворке Ruby on Rails , sugar, 00:44 , 21-Авг-11, (25)

Критическая уязвимость во фреймворке Ruby on Rails , бедный буратино, 10:40 , 18-Авг-11, (5) +1

Критическая уязвимость во фреймворке Ruby on Rails , UbuntoidLinuxoid, 17:40 , 18-Авг-11, (19)
Критическая уязвимость во фреймворке Ruby on Rails , northbear, 17:45 , 18-Авг-11, (20)

Критическая уязвимость во фреймворке Ruby on Rails , re, 11:25 , 18-Авг-11, (6)

Критическая уязвимость во фреймворке Ruby on Rails , бедный буратино, 11:34 , 18-Авг-11, (9)

Критическая уязвимость во фреймворке Ruby on Rails , re, 11:43 , 18-Авг-11, (10)

Критическая уязвимость во фреймворке Ruby on Rails , бедный буратино, 11:45 , 18-Авг-11, (11)

Критическая уязвимость во фреймворке Ruby on Rails , re, 12:02 , 18-Авг-11, (13)

Критическая уязвимость во фреймворке Ruby on Rails , Ivan1986, 14:05 , 18-Авг-11, (15)

Критическая уязвимость во фреймворке Ruby on Rails , Аноним, 11:28 , 18-Авг-11, (7)

Критическая уязвимость во фреймворке Ruby on Rails , re, 11:33 , 18-Авг-11, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от KO on 18-Авг-11, 09:21

Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла или отсутствие таких сайтов?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Критическая уязвимость во фреймворке Ruby on Rails " +2 +/–

Сообщение от Аноним (??) on 18-Авг-11, 10:10

SQL-инъекциях? Про SQL-инфекции я тоже давненько не слыхал.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Критическая уязвимость во фреймворке Ruby on Rails " +1 +/–

Сообщение от Аноним (??) on 18-Авг-11, 11:54

> Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла
> или отсутствие таких сайтов?
Это особенность модулей DBI, при использовании которых можно написать скрипт с наличием инъекции только специально сильно этого захотев.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от rshadow (ok) on 18-Авг-11, 14:07

Это особенность высокого порога вхождения

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Критическая уязвимость во фреймворке Ruby on Rails " –3 +/–

Сообщение от all_glory_to_the_hypnotoad (ok) on 18-Авг-11, 18:07

уже +20 лет не видел сайты на перл. мб по этому не слышал об инъекциях?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Критическая уязвимость во фреймворке Ruby on Rails " +1 +/–

Сообщение от myc on 18-Авг-11, 20:36

немалая часть проектов yandex, mail.ru, rambler работает на перле.
мало?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Критическая уязвимость во фреймворке Ruby on Rails " +1 +/–

Сообщение от Аноним (??) on 18-Авг-11, 21:59

> уже +20 лет не видел сайты на перл. мб по этому не
> слышал об инъекциях?
opennet на perl - https://www.opennet.ru/guide.shtml#hw

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от ы on 19-Авг-11, 12:28

> уже +20 лет не видел сайты на перл.
это связно с тем, что очень многие люди не видят того, что находится у них перед их носом. :)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от sugar on 21-Авг-11, 00:44

У нашей конторы все проекты на Perl, фреймворке Mojolicious - http://mojolicio.us/
Пишем, сдаем, не жалуемся.
Кстати, фреймворк, упомянутый мной, отличная альтернатива рельсам на перле.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

5. "Критическая уязвимость во фреймворке Ruby on Rails " +1 +/–

Сообщение от бедный буратино (ok) on 18-Авг-11, 10:40

Это что, пока обновление из Debian не выйдет, дебиановский redmine лучше гасить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от UbuntoidLinuxoid on 18-Авг-11, 17:40

В redmine уязвимостей нет. Были уязвимости в рельсах. Обновлять надо рельсы.
Когда будем читать то что написано, а не то что хочется?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от northbear (??) on 18-Авг-11, 17:45

Редмайн в паблик лучше не выставлять... Он сам по себе довольно коряво написан.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от re on 18-Авг-11, 11:25

что такое дебианевский редмине?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от бедный буратино (ok) on 18-Авг-11, 11:34

> что такое дебианевский редмине?
Redmine из стандартного комплекта Debian. В Debian rails 2.3.5

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от re on 18-Авг-11, 11:43

>> что такое дебианевский редмине?
> Redmine из стандартного комплекта Debian. В Debian rails 2.3.5
благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от бедный буратино (ok) on 18-Авг-11, 11:45

> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)
Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не касается, а может быть - спят ещё.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от re on 18-Авг-11, 12:02

>> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)
> Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь
> волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не
> касается, а может быть - спят ещё.
на oneiric есть такой но инстал не делал, и без него вроде всегда обхожусь

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от Ivan1986 on 18-Авг-11, 14:05

в oneiric оно поломано :(

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

7. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от Аноним (??) on 18-Авг-11, 11:28

Что такое редмине?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Критическая уязвимость во фреймворке Ruby on Rails " +/–

Сообщение от re on 18-Авг-11, 11:33

> Что такое редмине?
redmine

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
Сообщение от KO on 18-Авг-11, 09:21
Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла или отсутствие таких сайтов?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Критическая уязвимость во фреймворке Ruby on Rails "	+2 +/–
	Сообщение от Аноним (??) on 18-Авг-11, 10:10
	SQL-инъекциях? Про SQL-инфекции я тоже давненько не слыхал.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	12. "Критическая уязвимость во фреймворке Ruby on Rails "	+1 +/–
	Сообщение от Аноним (??) on 18-Авг-11, 11:54
	> Уже лет 10 не слышу об SQL-инфекциях про perl-сайты. Это особенность перла > или отсутствие таких сайтов? Это особенность модулей DBI, при использовании которых можно написать скрипт с наличием инъекции только специально сильно этого захотев.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	16. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от rshadow (ok) on 18-Авг-11, 14:07
	Это особенность высокого порога вхождения
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	21. "Критическая уязвимость во фреймворке Ruby on Rails "	–3 +/–
	Сообщение от all_glory_to_the_hypnotoad (ok) on 18-Авг-11, 18:07
	уже +20 лет не видел сайты на перл. мб по этому не слышал об инъекциях?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	22. "Критическая уязвимость во фреймворке Ruby on Rails "	+1 +/–
	Сообщение от myc on 18-Авг-11, 20:36
	немалая часть проектов yandex, mail.ru, rambler работает на перле. мало?
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Критическая уязвимость во фреймворке Ruby on Rails "	+1 +/–
	Сообщение от Аноним (??) on 18-Авг-11, 21:59
	> уже +20 лет не видел сайты на перл. мб по этому не > слышал об инъекциях? opennet на perl - https://www.opennet.ru/guide.shtml#hw
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	24. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от ы on 19-Авг-11, 12:28
	> уже +20 лет не видел сайты на перл. это связно с тем, что очень многие люди не видят того, что находится у них перед их носом. :)
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	25. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от sugar on 21-Авг-11, 00:44
	У нашей конторы все проекты на Perl, фреймворке Mojolicious - http://mojolicio.us/ Пишем, сдаем, не жалуемся. Кстати, фреймворк, упомянутый мной, отличная альтернатива рельсам на перле.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору

5. "Критическая уязвимость во фреймворке Ruby on Rails "	+1 +/–
Сообщение от бедный буратино (ok) on 18-Авг-11, 10:40
Это что, пока обновление из Debian не выйдет, дебиановский redmine лучше гасить?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	19. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от UbuntoidLinuxoid on 18-Авг-11, 17:40
	В redmine уязвимостей нет. Были уязвимости в рельсах. Обновлять надо рельсы. Когда будем читать то что написано, а не то что хочется?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	20. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от northbear (??) on 18-Авг-11, 17:45
	Редмайн в паблик лучше не выставлять... Он сам по себе довольно коряво написан.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

6. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
Сообщение от re on 18-Авг-11, 11:25
что такое дебианевский редмине?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от бедный буратино (ok) on 18-Авг-11, 11:34
	> что такое дебианевский редмине? Redmine из стандартного комплекта Debian. В Debian rails 2.3.5
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от re on 18-Авг-11, 11:43
	>> что такое дебианевский редмине? > Redmine из стандартного комплекта Debian. В Debian rails 2.3.5 благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =)
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от бедный буратино (ok) on 18-Авг-11, 11:45
	> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =) Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не касается, а может быть - спят ещё.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от re on 18-Авг-11, 12:02
	>> благодарю, он же по дефолту отсутствует в установке, у меня он по дефолту, ура =) > Ну я набрал apt-get install redmine, правда из squeeze-backports (1.1.2), а теперь > волнуюсь, в security.debian.org пусто. Может быть, эта проблема нас вообще не > касается, а может быть - спят ещё. на oneiric есть такой но инстал не делал, и без него вроде всегда обхожусь
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	15. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от Ivan1986 on 18-Авг-11, 14:05
	в oneiric оно поломано :(
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору

7. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
Сообщение от Аноним (??) on 18-Авг-11, 11:28
Что такое редмине?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Критическая уязвимость во фреймворке Ruby on Rails "	+/–
	Сообщение от re on 18-Авг-11, 11:33
	> Что такое редмине? redmine
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору