Sortie de nouvelles versions de Ruby On Rails
Pour corriger deux failles critiques pouvant permettre des injections SQL
Le 2013-01-10 15:03:48, par Hinault Romaric, Responsable .NET
L'année démarre sous pression pour les développeurs de Ruby On Rails, le Framework Web libre écrit en Ruby.
En l’espace d’une semaine seulement, ceux-ci ont patché à deux reprises Rails pour corriger des vulnérabilités critiques dans la solution.
Les utilisateurs de Rails sont invités à appliquer rapidement les nouvelles mises à jour du Framework qui viennent d’être publiées.
Ces mises à jour corrigent deux vulnérabilités. La première faille, numérotée CVE-2013-0156, pourrait être exploitée par des pirates pour contourner les systèmes d’authentification afin d’effectuer des attaques par injection SQL et par déni de service. La vulnérabilité se trouve au niveau du code d’analyse des paramètres de Rails.
La seconde faille (CVE-2013-0155) se trouve au niveau de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Elle peut être utilisée pour envoyer des requêtes SQL inattendues en utilisant la commande « IS NULL ».
Les développeurs du Framework Web ont libéré quatre mises à jour de Rails, dont les versions : 3.2.11, 3.1.10, 3.0.19 et 2.3.15.
Source : Blog du projet
En l’espace d’une semaine seulement, ceux-ci ont patché à deux reprises Rails pour corriger des vulnérabilités critiques dans la solution.
Les utilisateurs de Rails sont invités à appliquer rapidement les nouvelles mises à jour du Framework qui viennent d’être publiées.
Ces mises à jour corrigent deux vulnérabilités. La première faille, numérotée CVE-2013-0156, pourrait être exploitée par des pirates pour contourner les systèmes d’authentification afin d’effectuer des attaques par injection SQL et par déni de service. La vulnérabilité se trouve au niveau du code d’analyse des paramètres de Rails.
La seconde faille (CVE-2013-0155) se trouve au niveau de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Elle peut être utilisée pour envoyer des requêtes SQL inattendues en utilisant la commande « IS NULL ».
Les développeurs du Framework Web ont libéré quatre mises à jour de Rails, dont les versions : 3.2.11, 3.1.10, 3.0.19 et 2.3.15.
Source : Blog du projet
Pierre Louis Chevalier
Expert éminent sénior
Quelqu'un utilise Ruby on Rails et en est content ?
Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
le 01/02/2013 à 16:40