Новости

В Ruby on Rails устранена очередная критическая уязвимость


Разработчики устранили опасную уязвимость в Ruby on Rails, которая позволяла выполнение произвольного кода на системе.

Разработчики популярного фреймворка выпустили очередное исправление безопасности, устраняющее критическую уязвимость в обработчике JSON данных. Уязвимость позволяет злоумышленнику выполнить произвольный код на системе с помощью специально сформированного HTTP POST запроса, содержащего JSON код с YAML вставкой.

Уязвимость распространяется на версии Ruby on Rails 3.0.19 или 2.3.15. Более ранние версии также могут быть подвержены этой уязвимости.
Подробное описание уязвимости доступно по адресу:  http://www.securitylab.ru/vulnerability/436884.php

PoC код в виде модуля к Metasploit Framework можно просмотреть здесь .

Напомним, что несколько недель тому в сети появился эксплоит, использующий уязвимость в XML обработчике Ruby on Rails. Таким образом это вторая опасная уязвимость в фреймворке за январь текущего года. В прошлом году для Ruby on Rails SecurityLab.ru выпустил 5 уведомлений безопасности, в которых были описаны 10 уязвимостей. Ни одна из уязвимостей в 2012 году не претендовала на высокий рейтинг опасности.

SecurityLab.ru рекомендует своим читателям установить последнюю версию программного обеспечения 3.0.20 или 2.3.16 с сайта производителя.




или введите имя





                                                                                                                                                                                                                                               

Блоги
25.01.2015
<Без имени>
На одних DLP-системах взаимодействие PR-отдела с отделом информационной безопасности заканчиваться н...
24.01.2015
<Без имени>
Сегодня заметка про книги будет необычной. В ней я расскажу, а точнее сравню 2 книги по одной теме (...
24.01.2015
<Без имени>
Внимание! Данный пост содержит информацию, составляющую коммерческую тайну. Указанная информация не ...
24.01.2015
<Без имени>
В прошлом посте мы говорили об освещении PR-отедлом компании событий, связанных с деятельностью её о...
23.01.2015
<Без имени>
Несмотря на то, что на первый взгляд подразделения информационной безопасности и связей с общественн...
23.01.2015
<Без имени>
Отформатировал раздел блога "Информационные ресурсы", планирую собирать там ссылки на интересные мат...
22.01.2015
<Без имени>
Компания намерена использовать собранные DLP-системой данные в качестве цифровых доказательств. Напр...
22.01.2015
<Без имени>
Этот пост будет не совсем об утечках информации, но ведь ИБ борется не только с ними, верно? Мы пого...
22.01.2015
<Без имени>
       
22.01.2015
<Без имени>
Хотел писать про мифы СПО, но не пришлось, Минкомсвязи написало.
http://beta.minsvyaz.ru/ru/activ...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск



Positive Hack Days V — Call for Papers