В Ruby on Rails повторно устранена возможность подстановки SQL-кода

13 июня 2012 года

Wikinews-logo-ru.svg

Спустя две недели с момента публикации информации о критической уязвимости в web-фреймворке Ruby on Rails представлены очередные корректирующие выпуски 3.0.14, 3.1.6 и 3.2.6, в которых устранена очередная порция опасных уязвимостей.

Как и прошлая уязвимость, новая проблема безопасности связана с реализацией обработки вложенных запросов в Active Record и позволяет осуществить подстановку своего SQL-кода. Данная проблема по своей сути аналогична прошлой уязвимости, но подразумевает использование несколько иной техники эксплуатации, позволяющей обойти метод борьбы с уязвимостью, добавленный в прошлом выпуске Ruby on Rails. Вторая уязвимость связана с некорректным разбором параметров в Rack при использовании Active Record, что позволяет вставить в SQL-запрос условие "IS NULL".

 

ИсточникиПравить


Эта статья содержит материалы из статьи «В Ruby on Rails повторно устранена возможность подстановки SQL-кода», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:В Ruby on Rails повторно устранена возможность подстановки SQL-кода