В Ruby on Rails повторно устранена возможность подстановки SQL-кода

13 июня 2012 года

Спустя две недели с момента публикации информации о критической уязвимости в web-фреймворке Ruby on Rails представлены очередные корректирующие выпуски 3.0.14, 3.1.6 и 3.2.6, в которых устранена очередная порция опасных уязвимостей.

Как и прошлая уязвимость, новая проблема безопасности связана с реализацией обработки вложенных запросов в Active Record и позволяет осуществить подстановку своего SQL-кода. Данная проблема по своей сути аналогична прошлой уязвимости, но подразумевает использование несколько иной техники эксплуатации, позволяющей обойти метод борьбы с уязвимостью, добавленный в прошлом выпуске Ruby on Rails. Вторая уязвимость связана с некорректным разбором параметров в Rack при использовании Active Record, что позволяет вставить в SQL-запрос условие "IS NULL".

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «В Ruby on Rails повторно устранена возможность подстановки SQL-кода», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.