Новости

В Ruby on Rails устранена очередная критическая уязвимость


В Ruby on Rails устранена очередная критическая уязвимость

Разработчики устранили опасную уязвимость в Ruby on Rails, которая позволяла выполнение произвольного кода на системе.

Разработчики популярного фреймворка выпустили очередное исправление безопасности, устраняющее критическую уязвимость в обработчике JSON данных. Уязвимость позволяет злоумышленнику выполнить произвольный код на системе с помощью специально сформированного HTTP POST запроса, содержащего JSON код с YAML вставкой.

Уязвимость распространяется на версии Ruby on Rails 3.0.19 или 2.3.15. Более ранние версии также могут быть подвержены этой уязвимости.
Подробное описание уязвимости доступно по адресу:  http://www.securitylab.ru/vulnerability/436884.php

PoC код в виде модуля к Metasploit Framework можно просмотреть здесь .

Напомним, что несколько недель тому в сети появился эксплоит, использующий уязвимость в XML обработчике Ruby on Rails. Таким образом это вторая опасная уязвимость в фреймворке за январь текущего года. В прошлом году для Ruby on Rails SecurityLab.ru выпустил 5 уведомлений безопасности, в которых были описаны 10 уязвимостей. Ни одна из уязвимостей в 2012 году не претендовала на высокий рейтинг опасности.

SecurityLab.ru рекомендует своим читателям установить последнюю версию программного обеспечения 3.0.20 или 2.3.16 с сайта производителя.

 Ежедневный выпуск от SecurityLab.Ru
 Еженедельный выпуск от SecurityLab.Ru

(Голосов: 1, Рейтинг: 3.2)





                                                                                                                                                                                                                                               

Блоги
17.04.2014
<Без имени>
Стала доступна видеозапись с круглого стола «Новые киберугрозы для субъектов предприн...
17.04.2014
<Без имени>
В последние дни что-то часто опять стала подниматься тема оценки соответствия по информационной безо...
17.04.2014
<Без имени>
Вчера в Нижнем Новгороде в рамках конференции ITForum 2020я провел 3х-часовой мастер-класс по персон...
17.04.2014
<Без имени>
С пару недель назад имел беседу с коллегой, который пытался доказать, что в технологических сетях им...
17.04.2014
<Без имени>
Намедни столкнулся с тем, что кое-кто из знакомых ИБ-шников не очень представляет себе, что такое VP...
16.04.2014
<Без имени>
14-15 апреля в Москве проходил уже седьмой Межотраслевой форум директоров по информационной безопа...
16.04.2014
<Без имени>
К сожалению, неотъемлемым свойством всех конфликтов является желание каждой из сторон навредить др...
15.04.2014
<Без имени>
Вчера в Твиттере я опубликовал заметку такого содержания "Злорадно жду, когда 8-й Центр приме...
15.04.2014
<Без имени>
Перейдя на новую систему нормативных документов, ФСТЭК сделала благое дело и для тех, кто занимается...
14.04.2014
<Без имени>
DLP-системы продолжают развиваться и видоизменяться. Давайте немного подумаем над тем, каков основ...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск



Конкурс для специалистов: чего нам не хватает в SIEM?