Во всех версиях Ruby on Rails кроется SQL инъекция

Разработчик Ruby on Rails предупреждает об уязвимости (SQL инъекции), которая кроется во всех текущих версиях веб-фреймворка, сообщает zitata.org. В настоящее время уже доступны новые релизы Ruby on Rails — 3.2.10, 3.1.9 и 3.0.18. Разработчики рекомендуют всем пользователям совершить немедленные обновления. Для тех, которые по каким-либо причинам не могут обновиться, существуют патчи для версий 3.2 и 3.1 и более старых 3.0 и 2.3.

По мнению специалистов уязвимость находится в интерфейсе запросов Active Record к базе данных и позволяет потенциальным злоумышленникам внедрить произвольную SQL (Structured Query Language) инъекцию. Динамический поиск использует имя метода для определения того, что нужно найти, а такие вызовы как:

Post.find_by_id(params[:id])

могут быть использованы для атак. Такие SQL инъекции, как правило, используются злоумышленниками для извлечения информации из баз данных. Данная уязвимость была выявлена в конце декабря месяца 2012 года на блоге Phenoelit, когда автор применил технику для извлечения учётных данных из системы Ruby on Rails, обходя рамки аутентификации.

Похожие новости

оставлено коментариев