OpenForum RSS: Новые выпуски&nbsp;&nbsp;Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... https://www.opennet.me/openforum/vsluhforumID3/97930.html Представлены (http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_5_have_been_released/) корректирующие выпуски MVC (Model-View-Controller) web-фреймворка Ruby on Rails 4.0.9 и 4.1.5, в которых устранена опасная уязвимость (https://groups.google.com/forum/#!msg/rubyonrails-security/M4chq5Sb540/CC1Fh0Y_NWwJ) (CVE-2014-3514), которая может привести к установке произвольных атрибутов моделей. Проблема проявляется в приложениях, использующих метод create_with в Active Record, ошибка в реализации которого позволяет обойти код защиты внутренних параметров.<br><br><br>В качестве обходного пути защиты отмечается замена вызовов подобных "user.blog_posts.create_with(params[:blog_post]).create" на "user.blog_posts.create(params[:blog_post])" или вариант с явным перечислением разрешённых параметров - "user.blog_posts.create_with(params[:blog_post].permit(:title, :body, :etc)).create".<br><br><br><br><br>URL: http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_5_have_been_released/<br>Новость: http://www.opennet.ru/opennews/ar Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (us) https://www.opennet.me/openforum/vsluhforumID3/97930.html#9 Thu, 21 Aug 2014 12:04:34 GMT [code]123<br>ewew[/code]<br> Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/97930.html#8 Tue, 19 Aug 2014 20:30:06 GMT Потому что любят RoR, это ведь хороше. <br> Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (funny_falcon) https://www.opennet.me/openforum/vsluhforumID3/97930.html#7 Tue, 19 Aug 2014 15:23:06 GMT Причем, не аффектит, т.к. create_with еще не было. Простой create вполне себе надежен.<br><br>Вообще любопытно: уязвимость в новом, отнюдь не базовом функционале, аналогов которого, подозреваю, больше ни кого нет, и который среди пользователей рельс тоже еще большой популярности не набрал. А уже целую новость настрочили: пофикшена серьезная уязвимость!!!<br><br>Почему не пишут про исправления багов в Wordpress, Drupal, Symphony и прочем? Не ужели за последние полгода не было найдено серьезной уязвимости. <br><br>С дрегой стороны, спасибо за новость. Благодоря таким новостям пользователи замечательного фреймворка быстрее залатают откуда-то откопавшуюся уязвимость и поставят в календаре обновиться через несколько дней на исправленную версию. Благо, разработчики рельс довольно оперативно реагируют на подобные казусы. <br> Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (Гость) https://www.opennet.me/openforum/vsluhforumID3/97930.html#6 Tue, 19 Aug 2014 10:10:12 GMT Это хорошо :)<br> Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/97930.html#5 Tue, 19 Aug 2014 08:55:37 GMT &gt; Versions Affected: 4.0.0 and All Later Versions.<br>&gt; Not affected: Versions earlier than 4.0.0<br><br>Редмайн на третьих рельсах.<br> Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (Гость) https://www.opennet.me/openforum/vsluhforumID3/97930.html#4 Tue, 19 Aug 2014 07:38:51 GMT А с рэдмайном чё?<br> Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/97930.html#3 Tue, 19 Aug 2014 06:31:17 GMT как будто тут кто-то ещё сидит<br> Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/97930.html#2 Tue, 19 Aug 2014 05:07:53 GMT Что, опять Петросян?<br> Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/97930.html#1 Tue, 19 Aug 2014 00:49:54 GMT Что, опять рубистам вкоммитили фикс на гитхаб через баг? :)<br>