Новости

В Ruby on Rails устранена очередная критическая уязвимость


Разработчики устранили опасную уязвимость в Ruby on Rails, которая позволяла выполнение произвольного кода на системе.

Разработчики популярного фреймворка выпустили очередное исправление безопасности, устраняющее критическую уязвимость в обработчике JSON данных. Уязвимость позволяет злоумышленнику выполнить произвольный код на системе с помощью специально сформированного HTTP POST запроса, содержащего JSON код с YAML вставкой.

Уязвимость распространяется на версии Ruby on Rails 3.0.19 или 2.3.15. Более ранние версии также могут быть подвержены этой уязвимости.
Подробное описание уязвимости доступно по адресу:  http://www.securitylab.ru/vulnerability/436884.php

PoC код в виде модуля к Metasploit Framework можно просмотреть здесь .

Напомним, что несколько недель тому в сети появился эксплоит, использующий уязвимость в XML обработчике Ruby on Rails. Таким образом это вторая опасная уязвимость в фреймворке за январь текущего года. В прошлом году для Ruby on Rails SecurityLab.ru выпустил 5 уведомлений безопасности, в которых были описаны 10 уязвимостей. Ни одна из уязвимостей в 2012 году не претендовала на высокий рейтинг опасности.

SecurityLab.ru рекомендует своим читателям установить последнюю версию программного обеспечения 3.0.20 или 2.3.16 с сайта производителя.




или введите имя





                                                                                                                                                                                                                                               

Блоги
20.09.2014
<Без имени>
Со времен DLP-Russia 2013 прошел ровно год и теперь конференция сменила свое название, несколько и...
20.09.2014
<Без имени>


Добрый день, дорогие читатели! Издано Постановление Правительства № 911 от 06 сент...
19.09.2014
<Без имени>
Вполне очевидно, что серьезность последствий утечек конфиденциальных данных заставляет организации...
19.09.2014
<Без имени>
Блоги:
9 способов защитить данные на мобильном устройстве от Владимира Безмалого.

...
18.09.2014
<Без имени>
Ботнеты сегодня - настоящий бич Сети, поэтому вероятность того, что компьютеры в компании в количе...
18.09.2014
<Без имени>
Летом 2012-го года меня пригласили войти в состав Консультативного совета Роскомнадзора по защите ...
17.09.2014
<Без имени>
22 сентября 2014 года в 10.00 (МСК) провожу вебинар «Как эффективно работать с информацией». Описани...
17.09.2014
<Без имени>
Увидел рекламные материалы к одному хорошему мероприятию по ИБ (одному из двух, на которые до сих по...
17.09.2014
<Без имени>
Пока другие рассуждают об информационной безопасности, мы её обеспечиваем. Без лишнего шума мы недав...
17.09.2014
<Без имени>

Недавно я уже писал про аналитику ВЦИОМ про читающих россиян. Сейчас стало доступно уже ...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск