25 Jan '13, 2am

【電】 悪用コード出回る「Ruby on Rails」の脆弱性に注意を - NTTデータ先端技術が検証 (Security NEXT): NTTデータ先端技術は、「Ruby on Rails」の「Action...

悪用コード出回る「Ruby on Rails」の脆弱性に注意を - NTTデータ先端技術が検証 NTTデータ先端技術は、「Ruby on Rails」の「Action Pack」に任意のコードが実行可能となる脆弱性が見つかった問題で、アップデートを呼びかけている。 問題とされる「CVE-2013-0156」は、「Ruby on Rails」のパラメータ解析における「YAML」および「シンボル変換」の不備に起因する脆弱性。悪用された場合、奪取したユーザー権限でコード実行が可能となる。 公表後に脆弱性の悪用コードが流通しており、同社では検証システムを用意し、脆弱性の再現性について調べた。リモートより細工したHTTPリクエストを送信することで「Ruby on Rails」を利用したアプリケーションにより任意のコードを実行できることを確認した。 脆弱性を修正した「Ruby on Rails 3.2.11」「Ruby on Rails 3.1.10」「Ruby on Rails 3.0.19」「 Ruby on Rails 2.3.15」が公開されており、最新版へのアップデートを呼びかけている。 (Security NEXT - 2013/01/25 ) ツイート 関連リンク Rails 3.2.11, 3.1.10, 3.0.19, and 2.3.15 have been released! NTTデータ先端技術:Ruby on Railsの脆弱性(CVE-2013-0156)に関する検証レポート NTTデータ先端技術セキュリティ事業部 NTTデータ先端技術 PR 関連記事 Oracle、定例パッチで85件の脆弱性を修正 - 多数製品に影響 Adobe、悪用が発生している「ColdFusion」の深刻な脆弱性を修正 「Java SE」のアップデートが公開 - 悪用コード出回る脆弱性を修正 MS、IEのゼロデイ脆弱性を修正する定例外パッチを公開 「Java SE 7」に未修正の脆弱性 - ゼロデイ攻撃発生中 「Ruby on Rails」にリモート...

Full article: http://www.security-next.com/036753

Tweets

Vulnerability in JSON Parser in Ruby on Rails 3...

groups.google.com 28 Jan '13, 9pm

Dieser Browser wird nicht unterstützt.

Vulnerability in JSON Parser in Ruby on Rails 3...

groups.google.com 28 Jan '13, 9pm

Dieser Browser wird nicht unterstützt.

【検証レポート】【NTTデータ先端技術】Ruby on Rails の Action Pack のパラメータ解析の脆弱性により 任意のRubyコードを実行される脆弱性(CVE-2013-0156)に関する検証レポート

【検証レポート】【NTTデータ先端技術】Ruby on Rails の Action Pack...

security.intellilink.co.jp 24 Jan '13, 7am

Ruby on Rails の Action Pack のパラメータ解析の脆弱性により任意のRubyコードを実行される脆弱性(CVE-2013-0156)に関する検証レポート 【影響を受けるとされているシステム】 Ruby on Rails 3...

Ruby on Rails の JSON のパラメータ解析の脆弱性により任意のコードを実行される脆弱性(CVE-2013-0333)に関する検証レポート -

Ruby on Rails の JSON のパラメータ解析の脆弱性により任意のコードを実行され...

security.intellilink.co.jp 01 Feb '13, 5am

Vulnerability Note VU#628463: Ruby on Rails 3.0 and 2.3 JSON Parser vulnerability http://www.kb.cert.org/vuls/id/628463

Top Ruby Article: XML-YAML-parsing security fix...

rubyglasses.blogspot.com 27 Jan '13, 3am

Earlier I mentioned the Serious Rails vulnerability that affects all versions of Rails for the last six years. A fix has b...

Ruby off the Rails: What The Rails Security Iss...

metafilter.com 02 Feb '13, 1am

What The Rails Security Issue Means For Your Startup summarizes the impact of recent arbitrary-code-execution security vul...

Ruby on Rails receives the third security patch...

news.techworld.com 30 Jan '13, 9am

Developers of the Ruby on Rails web development framework have released versions 3.0.20 and 2.3.16 of the software in orde...

Ruby on Rails receives the third security patch in less than a month

Ruby on Rails receives the third security patch...

pcworld.com 29 Jan '13, 9pm

Developers of the Ruby on Rails Web development framework released versions 3.0.20 and 2.3.16 of the software on Monday in...

Ruby on Rails の JSON 解析処理に脆弱性

jvn.jp 29 Jan '13, 3am

Ruby on Rails [SEC][ANN] Rails 3.0.20, and 2.3.16 have been released! Vulnerability in JSON Parser in Ruby on Rails 3.0 an...

Ruby on Rails receives its third security patch...

infoworld.com 29 Jan '13, 7pm

Developers of the Ruby on Rails Web development framework released versions 3.0.20 and 2.3.16 of the software on Monday in...

ニュース

kominato.co.jp 05 Feb '13, 2pm

小湊鐵道のキハ200型車両1両を貸切として、友人や同僚などで同窓会、慰安旅行、結婚式の披露宴、小旅行にご利用下さい。 ※紅葉のシーズン、ゴールデンウィーク及びイベントまたは業務都合上によりご希望添えない場合もございます。 1、1両貸切 往復8万...

Teaching Android/Java and Ruby on Rails

southofshasta.com 31 Jan '13, 6pm

Next week (February 4 - 8) I'll be teaching a 5-day Java/Android Bootcamp in San Francisco. There are a few seats left, an...

Ruby on Rails receives third security patch in ...

computerworld.com 30 Jan '13, 9am

IDG News Service - Developers of the Ruby on Rails Web development framework released versions 3.0.20 and 2.3.16 of the so...

security

kalzumeus.com 31 Jan '13, 3pm

Many Rails developers have not reacted to this news with the alacrity they should have. (See next question.) These applica...