OpenForum RSS: Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... https://opennet.ru/openforum/vsluhforumID3/88633.html Представлены (http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/) корректирующие выпуски Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 в которых устранены две уязвимости (http://permalink.gmane.org/gmane.comp.security.oss.general/9351): <br><br><br>- Первая уязвимость (CVE-2013-0277 (https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/KtmwSbEpzrU)) обусловлена недоработкой в коде сериализации данных в ActiveRecord, который позволяет при разборе сериализированных полей распаковать и обработать произвольный блок YAML. Как и в ситуации с ранее исправленными в этом году уязвимостями (http://www.opennet.ru/opennews/art.shtml?num=35954), передав специально оформленную последовательность YAML атакующий может инициировать выполнение объектов с Ruby-кодом.<br><br>- Вторая уязвимость (CVE-2013-0276 (https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/AFBKNY7VSH8)) связана ошибкой в реализации метода "attr_protected" в ActiveRecord, который не пол Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (Аноним) https://opennet.ru/openforum/vsluhforumID3/88633.html#14 Wed, 13 Feb 2013 10:31:26 GMT &gt; это не уязвимость а позорное программирование ) <br><br>Сделай лучше, фуле. Код открыт. Форкни и почини. А то песдеть все горазды.<br> Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (Аноним) https://opennet.ru/openforum/vsluhforumID3/88633.html#13 Wed, 13 Feb 2013 09:55:42 GMT А вы думали что выполнение кода возможно только через переполнение буфферов? Ха-ха, наивные чукотские юноши таки получили то чего заслуживали.<br> Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (бедный буратино) https://opennet.ru/openforum/vsluhforumID3/88633.html#12 Wed, 13 Feb 2013 05:06:47 GMT Уязвимость-то одна, но они её так бережно переносят из версии в версию, дабы не сломать. :)<br> Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (Аноним) https://opennet.ru/openforum/vsluhforumID3/88633.html#11 Wed, 13 Feb 2013 02:22:55 GMT По количеству уязвимостей в последнее время рельсы успешно соревнуются с джаво-плагиом и флешем.<br> Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (бедный буратино) https://opennet.ru/openforum/vsluhforumID3/88633.html#10 Tue, 12 Feb 2013 22:50:43 GMT Rails хочет занять место php? :)<br> Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (Аноним) https://opennet.ru/openforum/vsluhforumID3/88633.html#9 Tue, 12 Feb 2013 20:03:36 GMT Проблема не в активном поиске дыр, а в том, что уже четвёртый раз не могут полностью залатать _одну_ дыру. Лишь прикрывают следствия и внешние проявления, не устраняя причину. В этот раз ничего не изменилось, через неделю опять кто-нибудь найдет новый способ как пропихнуть для обработки в ActiveRecord YAML и всё повторится. <br> Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (kosha) https://opennet.ru/openforum/vsluhforumID3/88633.html#8 Tue, 12 Feb 2013 19:32:00 GMT Чем выше популярность, тем больше интерес к информации обрабатываемой фреймворком (поиск дыр). Банально.<br>Кстати, сегодня на форуме прочитал, что гитхаб в последнее время тоже регулярно стал недоступен, тоже ведь на RoR.<br> Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (Аноним) https://opennet.ru/openforum/vsluhforumID3/88633.html#7 Tue, 12 Feb 2013 18:27:17 GMT Интересно, уязвимости на Github'е тестируют?<br> Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранени... (ВовкаОсиист) https://opennet.ru/openforum/vsluhforumID3/88633.html#6 Tue, 12 Feb 2013 18:00:55 GMT не смешнее было б, если бы не выходили обновления с устранением проблем безопасности(см жава).<br>