Новости

В Ruby on Rails устранена очередная критическая уязвимость


Разработчики устранили опасную уязвимость в Ruby on Rails, которая позволяла выполнение произвольного кода на системе.

Разработчики популярного фреймворка выпустили очередное исправление безопасности, устраняющее критическую уязвимость в обработчике JSON данных. Уязвимость позволяет злоумышленнику выполнить произвольный код на системе с помощью специально сформированного HTTP POST запроса, содержащего JSON код с YAML вставкой.

Уязвимость распространяется на версии Ruby on Rails 3.0.19 или 2.3.15. Более ранние версии также могут быть подвержены этой уязвимости.
Подробное описание уязвимости доступно по адресу:  http://www.securitylab.ru/vulnerability/436884.php

PoC код в виде модуля к Metasploit Framework можно просмотреть здесь .

Напомним, что несколько недель тому в сети появился эксплоит, использующий уязвимость в XML обработчике Ruby on Rails. Таким образом это вторая опасная уязвимость в фреймворке за январь текущего года. В прошлом году для Ruby on Rails SecurityLab.ru выпустил 5 уведомлений безопасности, в которых были описаны 10 уязвимостей. Ни одна из уязвимостей в 2012 году не претендовала на высокий рейтинг опасности.

SecurityLab.ru рекомендует своим читателям установить последнюю версию программного обеспечения 3.0.20 или 2.3.16 с сайта производителя.


или введите имя





                                                                                                                                                                                                                                               

Блоги
29.08.2014
<Без имени>
Каждая компания должна оценивать риски, связанные с утечками конфиденциальных данных, исходя из особ...
29.08.2014
<Без имени>
Блоги:
Андрей Прозоров опубликовал четвертую часть рекомендаций по подготовке к экзамену ...
29.08.2014
<Без имени>
Участники: Андрей Костин (@costinandrei), Сергей Шекян (@sshekyan), Александр Бажанюк (@ABazhaniuk) ...
28.08.2014
<Без имени>


Ваш рабочий день наполнен однотипными операциями, а времени на крупные проекты катастр...
28.08.2014
<Без имени>
Как показывают наши исследования, использование штатных средств различных приложений для разгранич...
28.08.2014
<Без имени>
В продолжение заметки "Кому нужен AppSec", новый обзор уязвимостей Web-приложений для ...
27.08.2014
<Без имени>
Коллеги из белорусского офиса SearchInform попросили сказать пару слов в нашем блоге о белорусском...
27.08.2014
<Без имени>
Ребята из BIS-expert составили рейтинг русскоязычных блогов по информационной безопасности. Он ...
27.08.2014
<Без имени>
Вышел отчет "2014 Internet Security Threat Report, Volume 19" от Symantec
Интересные цифры (вольн...
26.08.2014
<Без имени>
Для предупреждения преднамеренных утечек нужна целенаправленная работа, которая позволит выявлять и ...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск





Symantec — выбор № 1 для компаний любого масштаба: от малого бизнеса до крупных корпораций