Troisième mise à jour de sécurité pour Ruby On Rails en un mois
Rails 3.0.20 et 2.3.16 corrigent une faille "extrêmement critique"
Le 2013-01-30 15:03:32, par Hinault Romaric, Responsable .NET
Ruby On Rails, le framework Web libre écrit en Ruby reçoit pour la troisième fois consécutive en l’espace d’un mois seulement une autre mise à jour de sécurité.
Les développeurs de l’outil ont annoncé la sortie des versions 3.0.20 et 2.3.16 de Ruby On Rails, qui apportent un correctif de sécurité extrêmement critique.
La vulnérabilité étiquetée « CVE-2013-0333 » se situe au niveau du traitement des données au format JSON (JavaScript Object Notation) et pourrait être exploitée par un pirate distant pour contourner les systèmes d’authentification et effectuer des injections SQL pour compromettre les données, exécuter du code arbitraire ou effectuer des attaques par déni de service (DoS).
Cette mise à jour est la dernière version pour la série 3.0.x, qui ne sera plus supportée. Il est conseillé aux utilisateurs encore sur cette version de migrer vers les branches 3.1.x et 3.2.x qui ne sont pas affectées par cette vulnérabilité.
Les développeurs de Ruby On Rails conseillent d’appliquer rapidement ces mises à jour de sécurité.
Source : Blog du projet
Les développeurs de l’outil ont annoncé la sortie des versions 3.0.20 et 2.3.16 de Ruby On Rails, qui apportent un correctif de sécurité extrêmement critique.
La vulnérabilité étiquetée « CVE-2013-0333 » se situe au niveau du traitement des données au format JSON (JavaScript Object Notation) et pourrait être exploitée par un pirate distant pour contourner les systèmes d’authentification et effectuer des injections SQL pour compromettre les données, exécuter du code arbitraire ou effectuer des attaques par déni de service (DoS).
Cette mise à jour est la dernière version pour la série 3.0.x, qui ne sera plus supportée. Il est conseillé aux utilisateurs encore sur cette version de migrer vers les branches 3.1.x et 3.2.x qui ne sont pas affectées par cette vulnérabilité.
Les développeurs de Ruby On Rails conseillent d’appliquer rapidement ces mises à jour de sécurité.
Source : Blog du projet
Pierre Louis Chevalier
Expert éminent sénior
Quelqu'un utilise Ruby on Rails et en est content ?
Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
le 01/02/2013 à 16:40