Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles,
Pour corriger une faille critique pouvant permettre des injections SQL
Le 2013-01-04 16:16:42, par Hinault Romaric, Responsable .NET
Les développeurs de Ruby on Rails mettent en garde contre une vulnérabilité qui affecte toutes les versions du Framework Web libre.
La faille se situe au niveau de l’interface d’interrogation des bases de données « Active Record database », et peut être exploitée par un pirate pour prendre le contrôle d’une base de données par injection SQL.
Suite à cette découverte, les développeurs du Framework Web ont travaillé d'arrache-pied pour livrer de nouvelles versions de Ruby on Rails, qui viennent corriger cette faille. Rails 3.2.10, 3.1.9 et 3.0.18 sont actuellement disponibles en téléchargement.
Pour les utilisateurs ne pouvant pas appliquer immédiatement ces mises à jour, les développeurs de Rails ont publié une solution de contournement avec des correctifs qui peuvent facilement être appliqués aux anciennes versions, dont celles qui ne sont plus prises en charge.
Les responsables du projet conseillent aux utilisateurs de mettre à niveau immédiatement leur version de Ruby on Rails, compte tenu du fait que la faille ait déjà été divulguée publiquement.
Source : Blog du projet
La faille se situe au niveau de l’interface d’interrogation des bases de données « Active Record database », et peut être exploitée par un pirate pour prendre le contrôle d’une base de données par injection SQL.
Suite à cette découverte, les développeurs du Framework Web ont travaillé d'arrache-pied pour livrer de nouvelles versions de Ruby on Rails, qui viennent corriger cette faille. Rails 3.2.10, 3.1.9 et 3.0.18 sont actuellement disponibles en téléchargement.
Pour les utilisateurs ne pouvant pas appliquer immédiatement ces mises à jour, les développeurs de Rails ont publié une solution de contournement avec des correctifs qui peuvent facilement être appliqués aux anciennes versions, dont celles qui ne sont plus prises en charge.
Les responsables du projet conseillent aux utilisateurs de mettre à niveau immédiatement leur version de Ruby on Rails, compte tenu du fait que la faille ait déjà été divulguée publiquement.
Source : Blog du projet
Pierre Louis Chevalier
Expert éminent sénior
Quelqu'un utilise Ruby on Rails et en est content ?
Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
le 01/02/2013 à 16:40