В web-фреймворке Ruby on Rails (http://rubyonrails.org/) выявлена уязвимость (https://groups.google.com/group/rubyonrails-security/browse_...), позволяющая удалённому злоумышленнику организовать подстановку SQL-кода. Проблема вызвана отсутствием должной проверки вложенных параметров запроса в коде  Active Record. В частности, конструкция "Post.where(:id => params[:id]).all" в коде  Active Record напрямую передает внешние параметры в блок WHERE SQL-запроса, что позволяет атакующему передать запрос, в результате которого params[:id] вернёт специально изменённых хэш с содержимым дополнительных условий для блока WHERE. В результате, атакующий может получить доступ на чтение к содержимому таблиц в текущей БД, например, содержащих параметры аутентификации или конфиденциальные данные.

Уязвимость появляется только в Ruby on Rails 3.x, при использовании в приложениях Active Record для доступа к БД и вложенных параметров. Проблема устранена в корректирующих обновлениях Ruby on Rails 3.0.13 (http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-0-13-has.../), 3.1.5 (http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-1-5-has-.../) и 3.2.5 (http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-2-5-has-.../) (выпуск 3.2.4 отменён из-за регрессивных изменений). Похожая проблема зафиксирована в коде разбора параметров в Rack при использовании ActionPack, но она позволяет лишь вставить в SQL-запрос условие "IS NULL".

URL: http://secunia.com/advisories/49297
Новость: http://www.opennet.me/opennews/art.shtml?num=33992