Vulnerabilidad de inyección SQL en Ruby on Rails: Los desarrolladores de Ruby on Rails advierten ... vía @seguinfo

Segu-Info: Vulnerabilidad de inyección SQL en Ruby on Rails

Vulnerabilidad de inyección SQL en Ruby on Rails: Los desarrolladores de Ruby on Rails advierten ... vía @seguinfo

desarrolladores de Ruby on Rails advierten de una vulnerabilidad de inyección SQL que afecta a todas las versiones actuales del framework web. Las nuevas versiones de Ruby on Rails, 3.2.10, 3.1.9 y 3.0.18 ya están disponibles . Se recomienda que todos los usuarios se actualicen inmediatamente. El problema, de acuerdo con el aviso, es que debido a la forma dinámica en que se extraen las opciones desde el método "params", un parámetro puede ser usado como un campo de aplicación y se podría inyectar un SQL arbitrario. Los buscadores dinámicos utilizan el método "name" para determinar qué campo se está buscando, por lo que una sentencia del tipo: Post.find_by_id (params [: id]) sería vulnerable a un ataque y se podría inyectar: User.find_by_id({:select =>"* from users limit 1 --"}) User Load (0.5ms) SELECT * from users limit 1 -- FROM "users" WHERE "users"."id" IS NULL LIMIT 1...

Full article: http://blog.segu-info.com.ar/2013/01/vulnerabilidad-de-in...

Tweets

@Aldana_Angel » 11 Jan '13, 10pm
RT @operacionclean: Vulnerabilidad de inyección SQL en Ruby on Rails [link] Vía @SeguInfo
@elcodigok » 10 Jan '13, 9pm
Cepillaron a Ruby on Rails: Vulnerabilidad de inyección SQL [link] vía @seguinfo
@r00tH4ck » 10 Jan '13, 6pm
RT @Asavior2: #Seguridad Vulnerabilidad de inyección SQL en Ruby on Rails [link] @SeguInfo
@aacevesj » 10 Jan '13, 6pm
Segu-Info: Vulnerabilidad de inyección SQL en Ruby on Rails [link] vía @seguinfo
@Marydn » 10 Jan '13, 6pm
RT @hackplayers: Vulnerabilidad de inyección SQL en Ruby on Rails: Los desarrolladores de Ruby on Rails advierten ... [link] vía @seguinfo
@lextechcorp » 10 Jan '13, 6pm
RT @seguinfo Vulnerabilidad de inyección SQL en Ruby on Rails: Los desarrolladores de Ruby on Rails adv... [link] #infosec
@MiguelD1969 » 10 Jan '13, 6pm
#SegInformatica Vulnerabilidad de inyección SQL en Ruby on Rails [link]
@Asavior2 » 10 Jan '13, 6pm
#Seguridad Vulnerabilidad de inyección SQL en Ruby on Rails [link] @SeguInfo
@gmoris » 10 Jan '13, 6pm
Vulnerabilidad de inyección SQL en Ruby on Rails: Los desarrolladores de Ruby on Rails advierten de una vulnerab... [link]
@hackplayers » 10 Jan '13, 6pm
Vulnerabilidad de inyección SQL en Ruby on Rails: Los desarrolladores de Ruby on Rails advierten ... [link] vía @seguinfo
@SeguInfo » 10 Jan '13, 6pm
Vulnerabilidad de inyección SQL en Ruby on Rails: Los desarrolladores de Ruby on Rails advierten de una vulnerab... [link]
@3dison » 10 Jan '13, 6pm
Vulnerabilidad de inyección SQL en Ruby on Rails [link]
@TIC_Security » 10 Jan '13, 6pm
> @seguinfo : Vulnerabilidad de inyección SQL en Ruby on Rails [link]
@Aldana_Angel » 10 Jan '13, 6pm
> @seguinfo : Vulnerabilidad de inyección SQL en Ruby on Rails [link]

Segu-Info: Vulnerabilidad de inyección SQL en Ruby on Rails

Vulnerabilidad de inyección SQL en Ruby on Rails: Los desarrolladores de Ruby on Rails advierten ... vía @seguinfo

Tweets

#Vulnerabilidad de inyección SQL daña a Ruby on...

Wanted: Ingeniero de Sw Ruby on Rails para comp...

¿Trabajas con Ruby on Rails? Cuidado: advierten...

Gran arranque de @CarlosPigem en la previa de l...

Brecha de segurança no Ruby on Rails exige prov...

Alerte de sécurité sur Ruby On Rails

Jolie description de la théorie et de la réalit...

Sábado de Salsa en Hangar 48 Bar Music, en vivo...

Exploit voor ernstig Ruby on Rails-lek beschikbaar

[SbD] Inyección SQL en Ruby on Rails, fuerza br...

Más de los zapatos SS13 Louis Vuitton que ya te...

Ruby on Rails Releases 'Extremely Critical' Sec...

SQL Injection Flaw in Ruby on Rails, (Wed, Jan ...

DigiD offline door lek in Ruby on Rails

Este jueves 10 con Noche de Salsa en Luxx Marbe...