Sortie de nouvelles versions de Ruby On Rails
Pour corriger deux failles critiques pouvant permettre des injections SQL

Le , par Hinault Romaric, Responsable Actualités
L'année démarre sous pression pour les développeurs de Ruby On Rails, le Framework Web libre écrit en Ruby.

En l’espace d’une semaine seulement, ceux-ci ont patché à deux reprises Rails pour corriger des vulnérabilités critiques dans la solution.

Les utilisateurs de Rails sont invités à appliquer rapidement les nouvelles mises à jour du Framework qui viennent d’être publiées.

Ces mises à jour corrigent deux vulnérabilités. La première faille, numérotée CVE-2013-0156, pourrait être exploitée par des pirates pour contourner les systèmes d’authentification afin d’effectuer des attaques par injection SQL et par déni de service. La vulnérabilité se trouve au niveau du code d’analyse des paramètres de Rails.

La seconde faille (CVE-2013-0155) se trouve au niveau de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Elle peut être utilisée pour envoyer des requêtes SQL inattendues en utilisant la commande « IS NULL ».

Les développeurs du Framework Web ont libéré quatre mises à jour de Rails, dont les versions : 3.2.11, 3.1.10, 3.0.19 et 2.3.15.




Télécharger les nouvelles versions de Rails

Source : Blog du projet


 Poster une réponse

Avatar de Hinault Romaric Hinault Romaric
Responsable Actualités
le 30/01/2013 15:03
Troisième mise à jour de sécurité pour Ruby On Rails en un mois
les versions 3.0.20 et 2.3.16 corrigent une faille extrêmement critique

Ruby On Rails, le framework Web libre écrit en Ruby reçoit pour la troisième fois consécutive en l’espace d’un mois seulement une autre mise à jour de sécurité.

Les développeurs de l’outil ont annoncé la sortie des versions 3.0.20 et 2.3.16 de Ruby On Rails, qui apportent un correctif de sécurité extrêmement critique.

La vulnérabilité étiquetée « CVE-2013-0333 » se situe au niveau du traitement des données au format JSON (JavaScript Object Notation) et pourrait être exploitée par un pirate distant pour contourner les systèmes d’authentification et effectuer des injections SQL pour compromettre les données, exécuter du code arbitraire ou effectuer des attaques par déni de service (DoS).

Cette mise à jour est la dernière version pour la série 3.0.x, qui ne sera plus supportée. Il est conseillé aux utilisateurs encore sur cette version de migrer vers les branches 3.1.x et 3.2.x qui ne sont pas affectées par cette vulnérabilité.

Les développeurs de Ruby On Rails conseillent d’appliquer rapidement ces mises à jour de sécurité.




Télécharger Rails 3.0.20 et 2.3.16

Détails sur la vulnérabilité

Source : Blog du projet
Avatar de Pierre Louis Chevalier Pierre Louis Chevalier
Membre Expert
le 01/02/2013 16:40
Quelqu'un utilise Ruby on Rails et en est content ?

Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
Offres d'emploi IT
Web designer en alternance
Alternance
IP-FORMATION - Ile de France - Paris
Parue le 10/04/2014
Lead dév User Interface advertising oriented 50-55K H/F
CDI
Lead dév pour plateforme pub big data - Ile de France - Paris
Parue le 07/04/2014
Gestionnaire de Projets - PdT (H/F)
Alternance
Crédit Agricole - Ile de France - Le Kremlin-Bicêtre (94270)
Parue le 13/04/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula