Новости

В Ruby on Rails устранена очередная критическая уязвимость


Разработчики устранили опасную уязвимость в Ruby on Rails, которая позволяла выполнение произвольного кода на системе.

Разработчики популярного фреймворка выпустили очередное исправление безопасности, устраняющее критическую уязвимость в обработчике JSON данных. Уязвимость позволяет злоумышленнику выполнить произвольный код на системе с помощью специально сформированного HTTP POST запроса, содержащего JSON код с YAML вставкой.

Уязвимость распространяется на версии Ruby on Rails 3.0.19 или 2.3.15. Более ранние версии также могут быть подвержены этой уязвимости.
Подробное описание уязвимости доступно по адресу:  http://www.securitylab.ru/vulnerability/436884.php

PoC код в виде модуля к Metasploit Framework можно просмотреть здесь .

Напомним, что несколько недель тому в сети появился эксплоит, использующий уязвимость в XML обработчике Ruby on Rails. Таким образом это вторая опасная уязвимость в фреймворке за январь текущего года. В прошлом году для Ruby on Rails SecurityLab.ru выпустил 5 уведомлений безопасности, в которых были описаны 10 уязвимостей. Ни одна из уязвимостей в 2012 году не претендовала на высокий рейтинг опасности.

SecurityLab.ru рекомендует своим читателям установить последнюю версию программного обеспечения 3.0.20 или 2.3.16 с сайта производителя.




или введите имя





                                                                                                                                                                                                                                               

Блоги
21.12.2014
<Без имени>
Чуть больше года назад увидел свет первый выпуск подкаста Noise Security Bit (NoiSeBit)! Цели этого ...
19.12.2014
<Без имени>
Сегодня наткнулся на забавную книгу "Cybersecurity for Dummies" (Palo Alto Networks® Edition), свежа...
19.12.2014
<Без имени>
Под Новый год приятно вспомнить о Сноудене. Потому что в сотый раз писать о том, что происходит вокр...
19.12.2014
<Без имени>
В ноябрьскомPномере журналаP[Connectk вышла моя статья под названием, вынесены в заголовок. Расс...
18.12.2014
<Без имени>
На днях попался на глаза занятный отчет от компании McAfee (Intel Security).  Поскольку от...
18.12.2014
<Без имени>
У NIST есть замечательный короткий документ про ИБ для малого бизнеса, о котором мало кто знает. Это...
18.12.2014
<Без имени>
Любая мало-мальски стабильная компания большое значение придает собственному имиджу. Заметим, что им...
18.12.2014
<Без имени>
Вчера Государственная дума, как обычно, в спешном порядке приняла сразу в двух чтениях законопроект ...
17.12.2014
<Без имени>
Всем готовиться к 1 сентября 2015 года! Незаметно и иносказательно сайт Думы сообщил о переносе срок...
17.12.2014
<Без имени>
Ни для кого не секрет, что DLP-системы работают на перехваченном ими трафике. А значит, именно перех...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск



Positive Hack Days V — Call for Papers