Troisième mise à jour de sécurité pour Ruby On Rails en un mois
Rails 3.0.20 et 2.3.16 corrigent une faille "extrêmement critique"

Le , par Hinault Romaric, Responsable Actualités
Ruby On Rails, le framework Web libre écrit en Ruby reçoit pour la troisième fois consécutive en l’espace d’un mois seulement une autre mise à jour de sécurité.

Les développeurs de l’outil ont annoncé la sortie des versions 3.0.20 et 2.3.16 de Ruby On Rails, qui apportent un correctif de sécurité extrêmement critique.

La vulnérabilité étiquetée « CVE-2013-0333 » se situe au niveau du traitement des données au format JSON (JavaScript Object Notation) et pourrait être exploitée par un pirate distant pour contourner les systèmes d’authentification et effectuer des injections SQL pour compromettre les données, exécuter du code arbitraire ou effectuer des attaques par déni de service (DoS).

Cette mise à jour est la dernière version pour la série 3.0.x, qui ne sera plus supportée. Il est conseillé aux utilisateurs encore sur cette version de migrer vers les branches 3.1.x et 3.2.x qui ne sont pas affectées par cette vulnérabilité.

Les développeurs de Ruby On Rails conseillent d’appliquer rapidement ces mises à jour de sécurité.




Télécharger Rails 3.0.20 et 2.3.16

Détails sur la vulnérabilité

Source : Blog du projet


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Pierre Louis Chevalier Pierre Louis Chevalier
http://www.developpez.com
Membre Expert
le 01/02/2013 16:40
Quelqu'un utilise Ruby on Rails et en est content ?

Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
Avatar de Hinault Romaric Hinault Romaric
http://www.developpez.com
Responsable Actualités
le 07/07/2014 11:49
Ruby on Rails : de nouvelles versions du framework Web disponibles
pour corriger des failles critiques pouvant entrainer des injections SQL

Deux vulnérabilités critiques ont été corrigées dans le framework Web open source Ruby on Rails.

Les développeurs de l’outil ont publié les versions 3.2.19, 4.0.7 et 4.1.3 de Rails. Quelques heures plus tard, ils ont publié les versions 4.0.7 et 4.1.3 pour corriger des problèmes de régression causés par les mises à jour 4.0.7 et 4.1.3.

Selon les bulletins de sécurité qui ont été publiés, les deux failles sont liées et peuvent être exploitées par des pirates pour effectuer des attaques par injection SQL sur les systèmes affectés, en utilisant des valeurs spécialement conçues.




La première faille affecte Rails de la version 2.0.0 à la version 3.2.18 et touche particulièrement les applications qui utilisent le gestionnaire de bases de données PostgreSQL. La seconde faille touche les applications qui utilisent la version 4.0.0 et 4.1.2, ainsi que PostgreSQL également.

La seule solution possible au problème, selon les développeurs de Rails, est d’éviter l’utilisation des types de données concernées dans les requêtes. Ce qui n’est pas évident. C'est pourquoi les développeurs de Rails invitent les utilisateurs du Framework à mettre à jour urgemment la version qu’ils utilisent, afin d’être à l’abri des potentiels exploits qui reposent sur ces failles de sécurité.

Dans le cas ou une mise à jour immédiate n’est pas possible, les développeurs de Rails ont publié du code qui peut être appliqué manuellement pour corriger ces failles.

Ruby on Rails est un framework qui jouit d’une popularité importante dans l’écosystème du Web. Le framework fait partie du programme « Internet Bug Bounty », sponsorisé par Facebook et Microsoft, qui récompense la découverte des failles de sécurité dans les éléments clés de l’infrastructure d’Internet.

Télécharger les nouvelles versions

Source : Blog Rails
Offres d'emploi IT
Développeur C# Stagiaire (H/F)
Stage
TalentPlug - Nord Pas-de-Calais - Lille (59000)
Parue le 13/10/2014
Ingénieur développement ERP Junior H/F
CDI
CGI - Ile de France -
Parue le 28/09/2014
Développeur C/C++
CDI
EXTIA - Languedoc Roussillon - Montpellier (34000)
Parue le 06/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula