09 Jan '13, 2pm

В Ruby on Rails обнаружена критическая уязвимость, позволяющая выполнить код на сервере

- серия уязвимостей, которая позволяет атакующему выполнить свой код на сервере, обойти средства аутентификации, осуществить подстановку SQL кода. Уязвимости вызваны рядом ошибок в коде разбора XML параметров в Action Pack. Код разбора параметров в Ruby on Rails позволяет приложениям автоматически приводить значения различных переменных из строкового типа в представление других типов данных. Некоторые из используемых при таких операциях преобразований неприменимы при попытке создания Symbols или при парсинге YAML, и могут быть использованы атакующим для компрометации Rails-приложений (по сути можно организовать выполнение Ruby-кода, заданного в XML блоках с параметром type="yaml"). Для атаки злоумышленнику достаточно отправить специальный POST-запрос к приложению, использующему Rails. Прототип эксплоита для проверки своих систем на уязвимость можно найти здесь . В качестве...

Full article: http://www.opennet.ru/opennews/art.shtml?num=35792

Tweets

Эксплойт для последних уязвимостей Ruby on Rails

Эксплойт для последних уязвимостей Ruby on Rails

xakep.ru 10 Jan '13, 5am

Среди известных сайтов, которые работают на Ruby on Rails — Github, Yammer, Scribd, Groupon, Shopify и Basecamp. На Ruby н...

Ищем программистов Ruby on Rails в Челябинске, ...

74.ru 17 Jan '13, 9am

* Не менее 2 лет опыта работы над веб-приложениями на любом объектно-ориентированном языке - PHP, Python, Java, Perl * Зна...