Szerző: Gálffy Csaba

2013. január 9. 12:39

Sürgősen frissítsen minden Ruby-on-Rails felhasználó

Rendkívül súlyos hibát tartalmaz a Ruby-on-Rails framework összes kiadott verziója, függetlenül a fejlesztők odafigyelésétől. A javítás megérkezett, telepítése minden felhasználó oldal számára sürgősen ajánlott.

Rendkívül súlyos, az összes verzióra kiterjedő biztonsági hiba (pontosabban hibák sorozata) bukkant fel a népszerű Ruby-on-Rails szerveroldali keretrendszerben, amelyek kihasználásával megkerülhető a hitelesítő rendszer, tetszőleges SQL parancs futtatható, tetszőleges egyéb kód injektálható és futtatható, illetve DoS támadás alá vehető a futó webes alkalmazás. Az elemzések szerint a hiba minden Ruby-on-Rails implementációban megtalálható, függetlenül a konfigurációtól vagy a biztonságos fejlesztői gyakorlat meglététől. A hibajavítás az összes rendszerhez elérhető, telepítése sürgősen ajánlott.

"A sérülékenység az Action Pack komponenst érinti, és alapvetően egyfajta nem-biztonságos deszerializációról van szó: az Rails képes XML illetve XML-be ágyazott YAML formátumú, felhasználótól érkező bemeneteket automatikusan Ruby objektumokká alakítani, ami egy igen hasznos szolgáltatás, a bökkenő azonban az, hogy ilyen módon tetszőleges szimbólum illetve objektum futásidőben módosíthatóvá válik. Az Insinuator elemzése egy olyan kihasználási vektort mutat, melyben a támadó a Rails által használt Arel SQL interfész objektumainak állapotát manipulálja közvetlenül, kikerülve ezzel a setter metódusok ellenőrzéseit, gyakorlatilag SQL injectiont hozva létre." - írja a BuheraBlog.

Üzleti alkalmazások és e-kereskedelmi oldalak kedvence a Ruby-on-Rails

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

A biztonsági rés a kiadott frissítések telepítésével foltozható, ha ez valamilyen okból nem azonnal járható út, akkor az XML-paraméterek feldolgozásának letiltása óvhatja meg a rendszert. A biztonságos verziók száma 3.2.11, 3.1.10, 3.0.19, 2.3.15 - tehát a korábbi, nem támogatott kiadások (a 2.3-mal bezárólag) is kapnak javítást a most felfedezett hibára.

A Ruby-on-Rails a webes alkalmazások népszerű keretrendszere, számtalan szolgáltatás használja valamilyen formában a környezetet a Twittertől a Githubig, a Yammer, a Groupon, és a Scribd is. Egy friss felmérés szerint jelenleg mintegy 240 ezer oldal használ RoR-t, a Top 10000-ben pedig arányuk meghaladja a 2 százalékot.

Európa egyik legnagyobb Atlassiannal kapcsolatos rendezvénye, immár kilencedik alkalommal, új lendületet ad a vállalati produktivitásnak és a hatékony ügyfélkezelésnek. A március 20-21-i rendezvényen is lesznek top nemzetközi vendorok, a fókuszban pedig a projekt menedzsment, az IT szolgáltatásmenedzsment, és a HR lesznek.

a címlapról

GITHUB

0

Elérhetővé vált a GitHub Copilot Enterprise

2024. február 29. 11:34

Az előzetes után általánosan hozzáférhetővé vált a GitHubon a Copilot új szintje, ami a szervezetek belsős kódbázisa alapján segíti a fejlesztőket.