Krytyczne aktualizacje we wszystkich wersjach Rails

0
953
Ruby On Rails
Ruby On Rails

Wydano trzy krytyczne poprawki dotyczące platformy Rails: 2.3.14, 3.0.10 i 3.1.0RC6. Według informacji od programistów poprawki zostały dokonane 8 sierpnia, jednakże na prośbę jednego z członków CVE zostały tymczasowo wstrzymane. Łatki są dostępne pod powyższymi linkami.

Podatność na SQL Injection w quote_table_name wykryto w Railsach 2.3.x, 3.0.x i 3.1. Rails 3.x były podatne na ominięcie filtra, który pozwalał atakującym wyrenderować widok, do którego nie powinni mieć nigdy dostępu. Problem podziału odpowiedzi, który pozwalał napastnikom na wstrzyknięcie nagłówków HTTP w odpowiedź, obejmował tylko wersję Rails 2.3.x.

Kolejny błąd znaleziono w XSS w strip_tags i pomagał infekować Rails 3.0.x, 2.3.x oraz 3.1 RC. Inna podatność XSS znajdowała się w funkcji wyjścia Railsów i atakowała te same wersje, jednakże w momencie uruchomienia w Ruby 1.8.x. Aktualizacja 3.0.10 zawiera dodatkowo poprawki nie związane z bezpieczeństwem dla ActionPack i ActiveRecord. Wersja 2.3.14 zawiera także dwie poprawki nie obejmujące zabezpieczeń.

An SQL Injection vulnerability in quote_table_name affects the 2.3.x, 3.0.x and 3.1 versions of Rails. Rails 3.x was affected by the filter skipping vulnerability that allowed attackers to „render a view they should not have access to”. A response splitting issue which allowed attackers to inject HTTP headers into responses, only affected Rails 2.3.x. An XSS vulnerability in the strip_tags helper affected Rails 3.0.x, 2.3.x and 3.1 release candidates. Another XSS vulnerability in the escaping function of Rails affected the same versions but only when running in Ruby 1.8.x. The 3.0.10 update also contains non-security fixes for ActionPack and ActiveRecord. The 2.3.14 release also includes two non-security bug fixes.

http://www.h-online.com/security/news/item/Rails-gets-updates-for-critical-issues-in-all-versions-1324381.html

Poprzedni artykułOld Man Guru Magazine – numer 20/sierpień 2011
Następny artykułTuquito 5
Michał Olber
Interesuję się głównie sprzętem i działaniem jego pod systemami GNU/Linux. Testuję różne dystrybucje i robię recenzje. Interesuję się działaniem sprzętu pod Linuksem, dzięki czemu wiem, jaki zestaw komputerowy wybierać :)

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj