Новости

В Ruby on Rails устранена очередная критическая уязвимость


Разработчики устранили опасную уязвимость в Ruby on Rails, которая позволяла выполнение произвольного кода на системе.

Разработчики популярного фреймворка выпустили очередное исправление безопасности, устраняющее критическую уязвимость в обработчике JSON данных. Уязвимость позволяет злоумышленнику выполнить произвольный код на системе с помощью специально сформированного HTTP POST запроса, содержащего JSON код с YAML вставкой.

Уязвимость распространяется на версии Ruby on Rails 3.0.19 или 2.3.15. Более ранние версии также могут быть подвержены этой уязвимости.
Подробное описание уязвимости доступно по адресу:  http://www.securitylab.ru/vulnerability/436884.php

PoC код в виде модуля к Metasploit Framework можно просмотреть здесь .

Напомним, что несколько недель тому в сети появился эксплоит, использующий уязвимость в XML обработчике Ruby on Rails. Таким образом это вторая опасная уязвимость в фреймворке за январь текущего года. В прошлом году для Ruby on Rails SecurityLab.ru выпустил 5 уведомлений безопасности, в которых были описаны 10 уязвимостей. Ни одна из уязвимостей в 2012 году не претендовала на высокий рейтинг опасности.

SecurityLab.ru рекомендует своим читателям установить последнюю версию программного обеспечения 3.0.20 или 2.3.16 с сайта производителя.




или введите имя





                                                                                                                                                                                                                                               

Блоги
20.10.2014
<Без имени>
Крайне интересную и показательную аналитику по сертификации систем менеджмента мне прислал один из ч...
20.10.2014
<Без имени>
Если вы студент, учитель, исследователь, администратор или .. хм.. другое..... то вы можете запросит...
19.10.2014
<Без имени>
Ссылка на отличный пост на Хабре про безопасный монитор.
17.10.2014
<Без имени>
Добрый вечер, дорогие читатели! В пятницу ничего серьезного обсуждать не хочется. Поэтому я Вам прос...
17.10.2014
<Без имени>
Блоги:
Алексей Лукацкий разъяснил, можно ли отказываться от какой-либо защитной меры согл...
17.10.2014
<Без имени>
В любой российской организации, несмотря на существование файл-серверов, облачных хранилищ (в т.ч. и...
17.10.2014
<Без имени>
Я уже писал, что книга "О стратегии, маркетинге и консалтинге" (И.Г.Альтшулер) мне о...
16.10.2014
<Без имени>
Эксперты говорят, что для банкротства компании достаточно утечки всего лишь пятой части её корпорати...
15.10.2014
<Без имени>
var show; function hidetxt(type){ param=document.getElementById(type); if(param.style.display == "...
15.10.2014
<Без имени>
Сегодня много говорят об открытых данных применительно к различным государственным учреждениям. Суще...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск