В Rails устранена уязвимость, позволяющая осуществить подстановку SQL-кода

7 июля 2014 года

Вышла порция корректирующих обновлений web-фреймворка Rails 3.2.19, 4.0.7 и 4.1.3, в которых устранены опасные уязвимости (CVE-2014-3482, CVE-2014-3483), позволяющие осуществить подстановку SQL-запроса через передачу web-приложению специально оформленных входных значений.

Проблема проявляется только при использовании Active Record-драйвера для СУБД PostgreSQL и использовании специфичных для PostgreSQL типов bitstring или range, например, при употреблении в коде обработчиков вида Model.where(bitstring: params[:some_value]) или Model.where(range: params[:from]..params[:to]). Следом почти сразу вышли обновления Rails 4.0.8 и 4.1.4, в которых устранены внесённые в 4.0.7 и 4.1.3 регрессивные изменения.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «В Rails устранена уязвимость, позволяющая осуществить подстановку SQL-кода», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.