Главная Архив сайта Карта сайта Соглашение О проекте Обратная связь

Во всех версиях Ruby on Rails кроется SQL инъекция

Во всех версиях Ruby on Rails кроется SQL инъекция

Разработчик Ruby on Rails предупреждает об уязвимости (SQL инъекции), которая кроется во всех текущих версиях веб-фреймворка, сообщает labscience.ru. В настоящее время уже доступны новые релизы Ruby on Rails — 3.2.10, 3.1.9 и 3.0.18. Разработчики рекомендуют всем пользователям совершить немедленные обновления. Для тех, которые по каким-либо причинам не могут обновиться, существуют патчи для версий 3.2 и 3.1 и более старых 3.0 и 2.3.

По мнению специалистов уязвимость находится в интерфейсе запросов Active Record к базе данных и позволяет потенциальным злоумышленникам внедрить произвольную SQL (Structured Query Language) инъекцию. Динамический поиск использует имя метода для определения того, что нужно найти, а такие вызовы как:

Post.find_by_id(params[:id])

могут быть использованы для атак. Такие SQL инъекции, как правило, используются злоумышленниками для извлечения информации из баз данных. Данная уязвимость была выявлена в конце декабря месяца 2012 года на блоге Phenoelit, когда автор применил технику для извлечения учётных данных из системы Ruby on Rails, обходя рамки аутентификации.

Опубликовано: 06.01.2013 в 19:29

Добавить комментарий