Новости

В Ruby on Rails устранена очередная критическая уязвимость


Разработчики устранили опасную уязвимость в Ruby on Rails, которая позволяла выполнение произвольного кода на системе.

Разработчики популярного фреймворка выпустили очередное исправление безопасности, устраняющее критическую уязвимость в обработчике JSON данных. Уязвимость позволяет злоумышленнику выполнить произвольный код на системе с помощью специально сформированного HTTP POST запроса, содержащего JSON код с YAML вставкой.

Уязвимость распространяется на версии Ruby on Rails 3.0.19 или 2.3.15. Более ранние версии также могут быть подвержены этой уязвимости.
Подробное описание уязвимости доступно по адресу:  http://www.securitylab.ru/vulnerability/436884.php

PoC код в виде модуля к Metasploit Framework можно просмотреть здесь .

Напомним, что несколько недель тому в сети появился эксплоит, использующий уязвимость в XML обработчике Ruby on Rails. Таким образом это вторая опасная уязвимость в фреймворке за январь текущего года. В прошлом году для Ruby on Rails SecurityLab.ru выпустил 5 уведомлений безопасности, в которых были описаны 10 уязвимостей. Ни одна из уязвимостей в 2012 году не претендовала на высокий рейтинг опасности.

SecurityLab.ru рекомендует своим читателям установить последнюю версию программного обеспечения 3.0.20 или 2.3.16 с сайта производителя.




или введите имя





                                                                                                                                                                                                                                               

Блоги
27.11.2014
<Без имени>
Пост этот рождался долго и в муках, но очень уж бурно развивается тема. Тема очень простая - информа...
27.11.2014
<Без имени>
Продолжу тему отечественных стартапов по ИБ. Сегодня, в условиях непростой геополитической ситуации,...
26.11.2014
<Без имени>
О! Наткнулся на видеозапись моего выступления с прошедшего в сентябре BIS Summit 2014, где я вещал п...
26.11.2014
<Без имени>
Этой осенью проходил конкурс стартапов по ИБ iSecurity, организованный фондом "Сколково", и в жюри к...
25.11.2014
<Без имени>
В обществах с дифференциацией штанов реальную принадлежность руководителя ИБ к когорте C (с-level ил...
25.11.2014
<Без имени>
13 октября малоизвестная американская корпорация Danaher, работающая в области технологий для здраво...
25.11.2014
<Без имени>
Уже много раз повторялось, что российское законодательство, вводя ту или иную тайну и вводя ограниче...
25.11.2014
<Без имени>
Писать про собственное мероприятие может получиться и не объективно, но я постараюсь. Тем более, что...
25.11.2014
<Без имени>
Если говорить об интересах государства в сфере слежки за пользователями, то непременно важно помни...
24.11.2014
<Без имени>
В простейшем случае IDMможно использовать для автоматизации операций с учетными записями. При ...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск