IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Ruby on Rails : de nouvelles versions du framework Web disponibles
Pour corriger des failles critiques pouvant entrainer des injections SQL

Le , par Hinault Romaric

68PARTAGES

0  0 
Deux vulnérabilités critiques ont été corrigées dans le framework Web open source Ruby on Rails.

Les développeurs de l’outil ont publié les versions 3.2.19, 4.0.7 et 4.1.3 de Rails. Quelques heures plus tard, ils ont publié les versions 4.0.7 et 4.1.3 pour corriger des problèmes de régression causés par les mises à jour 4.0.7 et 4.1.3.

Selon les bulletins de sécurité qui ont été publiés, les deux failles sont liées et peuvent être exploitées par des pirates pour effectuer des attaques par injection SQL sur les systèmes affectés, en utilisant des valeurs spécialement conçues.




La première faille affecte Rails de la version 2.0.0 à la version 3.2.18 et touche particulièrement les applications qui utilisent le gestionnaire de bases de données PostgreSQL. La seconde faille touche les applications qui utilisent la version 4.0.0 et 4.1.2, ainsi que PostgreSQL également.

La seule solution possible au problème, selon les développeurs de Rails, est d’éviter l’utilisation des types de données concernées dans les requêtes. Ce qui n’est pas évident. C'est pourquoi les développeurs de Rails invitent les utilisateurs du Framework à mettre à jour urgemment la version qu’ils utilisent, afin d’être à l’abri des potentiels exploits qui reposent sur ces failles de sécurité.

Dans le cas ou une mise à jour immédiate n’est pas possible, les développeurs de Rails ont publié du code qui peut être appliqué manuellement pour corriger ces failles.

Ruby on Rails est un framework qui jouit d’une popularité importante dans l’écosystème du Web. Le framework fait partie du programme « Internet Bug Bounty », sponsorisé par Facebook et Microsoft, qui récompense la découverte des failles de sécurité dans les éléments clés de l’infrastructure d’Internet.

Télécharger les nouvelles versions

Source : Blog Rails

Une erreur dans cette actualité ? Signalez-nous-la !