Новости

В Ruby on Rails устранена очередная критическая уязвимость


В Ruby on Rails устранена очередная критическая уязвимость

Разработчики устранили опасную уязвимость в Ruby on Rails, которая позволяла выполнение произвольного кода на системе.

Разработчики популярного фреймворка выпустили очередное исправление безопасности, устраняющее критическую уязвимость в обработчике JSON данных. Уязвимость позволяет злоумышленнику выполнить произвольный код на системе с помощью специально сформированного HTTP POST запроса, содержащего JSON код с YAML вставкой.

Уязвимость распространяется на версии Ruby on Rails 3.0.19 или 2.3.15. Более ранние версии также могут быть подвержены этой уязвимости.
Подробное описание уязвимости доступно по адресу:  http://www.securitylab.ru/vulnerability/436884.php

PoC код в виде модуля к Metasploit Framework можно просмотреть здесь .

Напомним, что несколько недель тому в сети появился эксплоит, использующий уязвимость в XML обработчике Ruby on Rails. Таким образом это вторая опасная уязвимость в фреймворке за январь текущего года. В прошлом году для Ruby on Rails SecurityLab.ru выпустил 5 уведомлений безопасности, в которых были описаны 10 уязвимостей. Ни одна из уязвимостей в 2012 году не претендовала на высокий рейтинг опасности.

SecurityLab.ru рекомендует своим читателям установить последнюю версию программного обеспечения 3.0.20 или 2.3.16 с сайта производителя.

(Голосов: 1, Рейтинг: 3.2)


или введите имя





                                                                                                                                                                                                                                               

Блоги
30.07.2014
<Без имени>
Это, конечно, уже не новость, что все автовладельцы - это наши уже даже не совсем потенциальные, а ...
29.07.2014
<Без имени>
Как я и говорил во время семинара, ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его со...
29.07.2014
<Без имени>
ФСТЭК России опубликовал "Информационное сообщение по вопросам обеспечения безопасно...
29.07.2014
<Без имени>
. Download WinPcap wrapper for Wine and libpcap-dev.



# wget http: //intercepter.ner...
29.07.2014
<Без имени>
Вышла новая версия, которую теперь можно запустить под линуксом (Wine).Главные нововведения это LDAP...
28.07.2014
<Без имени>
Что ни говори. а Гугл сегодня - едва ли не главный ньюсмейкер и движитель прогресса в области разных...
28.07.2014
<Без имени>
Добрый день, для удобства читателей создана публичная страница ВКонтакте. Ссылка вот. На странице бу...
26.07.2014
<Без имени>
По приглашению коллег из Академии Информационных Систем (за что им, а особенно Тамаре Никифоро...
25.07.2014
<Без имени>
Блоги:
ЦБ дал ответ Артёму Агееву по поводу количества диаграмм в СТО БР ИББС-1.2-2014.
...
25.07.2014
<Без имени>
Регулярно читаю новости "основных" банков и вот мне попалась новость, относящаяся к финансам и ИБ. П...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск