09 Jan '13, 9am

Ruby on Railsに複数の脆弱性……認証が回避される可能性

 IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は9日、「Ruby on Railsに複数の脆弱性」を、脆弱性対策情報ポータルサイト「JVN」において公表した。  今回公開された「JVNVU#94771138」によると、Ruby on RailsのAction Packに、パラメータ解析処理に複数の脆弱性が存在するとのこと。これにより、遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されたりするなどの可能性があるという。  該当するシステムは、Ruby on Rails 3.2.11より前の3.2系、Ruby on Rails 3.1.10より前の3.1系、Ruby on Rails 3.0.19より前の3.0系、Ruby on Rails 2.3.15より前の2.3系。最新版へのアップデートまたはパッチを適用することで、脆弱性は解消される。

Full article: http://www.rbbtoday.com/article/2013/01/09/100858.html

Tweets

New flaw in Ruby on Rails:

New flaw in Ruby on Rails:

infosecurity-magazine.com 09 Jan '13, 1pm

Earlier today the Internet Storm Center (ISC) reported , “A SQL Injection Flaw (CVE-2012-5664) was announced last week (Ja...

Ruby 開発備忘録: vanityとchankoを使ってRailsで簡単安全にABテストをする

face-do.blogspot.com 10 Jan '13, 2pm

module Sample include Chanko::Unit active_if do |context, options| ab_test(:price_options) end scope(:controller) do funct...

"Ruby 1.9.3-p374 リリース"

ruby-lang.org 17 Jan '13, 8am

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p374.tar.bz2> SIZE: 10017658 bytes MD5: 944e73eba9ee9e1f2647ff32ec0b1...

Ruby on Railsが深刻な脆弱性に対処

news.mynavi.jp 11 Jan '13, 9am

Rails Core Teamは7日(米国時間)、Ruby on Railsに発見された深刻な脆弱性に対処したバージョンを公開 した。Ruby on Railsは、Rubyで開発されたWebアプリケーションフレームワーク。今回のアップデートでは...

Ruby on Rails patches more critical vulnerabili...

infoworld.com 09 Jan '13, 12pm

Those using the Ruby on Rails Web application framework on their websites are being advised to update the software immedia...

Ruby Science: How to Eliminate Feature Envy and...

robots.thoughtbot.com 08 Jan '13, 2pm

January 8, 2013 hrward ruby on rails ruby ruby science Ruby Science: How to Eliminate Feature Envy and Comments Since laun...

Extremely critical Ruby on Rails bug threatens ...

linuxtoday.com 09 Jan '13, 8pm

Extremely critical Ruby on Rails bug threatens more than 200,000 sites Jan 09, 2013, 11:00 (0 Talkback[s] ) Tweet Hundreds...

Ruby on Rails に複数の脆弱性

jvn.jp 09 Jan '13, 3am

US-CERT Vulnerability Note VU#380039 Ruby on Rails contains multiple vulnerabilities in parameter parsing in the Action Pa...

Ruby on Rails patches more critical vulnerabilities: Those using the Ruby on Rails web application framework on

Ruby on Rails patches more critical vulnerabili...

news.hitb.org 09 Jan '13, 10am

Those using the Ruby on Rails web application framework on their websites are being advised to update the software immedia...

Are you running Rails? Have you upgraded? If not, stop, upgrade IMMEDIATELY.

Are you running Rails? Have you upgraded? If no...

techweekeurope.co.uk 09 Jan '13, 4pm

A significant flaw on the Ruby on Rails web development framework might have put thousands of websites at risk of being ha...

Metasploit users - get the security update for ...

community.rapid7.com 09 Jan '13, 10am

was posted to the Ruby on Rails (RoR) security discussion list. The summary is that the XML processor in RoR can be tricke...