Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664)

Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記

The simple problem is, that most developers are simply not aware of the confidentiality of this file , and in result they 'll happly(happilyのtypoか?) check it into Github or other online repositories

Full article: http://blog.tokumaru.org/2013/01/Ruby-on-Rails-find-by-me...

Tweets

@abnormal_Ringo » 08 Jan '13, 4am
Rails のSQLインジェクション脆弱性　[link]
@rails_rt_ja » 08 Jan '13, 4am
RT @micdonalds: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 07 Jan '13, 12pm
RT @takehikom: [Ruby][セキュリティ] / “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@ockeghem » 07 Jan '13, 6am
連休明けにつき再注意喚起 Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@backpaper0 » 06 Jan '13, 7am
RT @igrep: おうふっ、はよアップデートしないと。 / “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@igrep » 06 Jan '13, 7am
おうふっ、はよアップデートしないと。 / “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 06 Jan '13, 6am
RT @abnormal_Ringo: Ruby on Railsの「find_by_*」メソッドにSQLインジェクションの脆弱性　[link]
@abnormal_Ringo » 06 Jan '13, 5am
Ruby on Railsの「find_by_*」メソッドにSQLインジェクションの脆弱性　[link]
@W53SA » 05 Jan '13, 7am
RT @mizti: 新年早々Ruby on Railsの脆弱性が報告されてる。脆弱性そのものは3.2.10で改修されてるみたいだけど、良い子は公開サービスのsecret_token.rbをGithubで漁ったりしないようにしようね！ [link]
@mizti » 05 Jan '13, 7am
新年早々Ruby on Railsの脆弱性が報告されてる。脆弱性そのものは3.2.10で改修されてるみたいだけど、良い子は公開サービスのsecret_token.rbをGithubで漁ったりしないようにしようね！ [link]
@rails_rt_ja » 05 Jan '13, 5am
RT @neo1_3: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) [link]
@rails_rt_ja » 05 Jan '13, 3am
RT @kuro_m88: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@rails_rt_ja » 05 Jan '13, 3am
RT @Saigon: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) [link]
@rails_rt_ja » 05 Jan '13, 2am
RT @fmy: "Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記" [link]
@rails_rt_ja » 05 Jan '13, 12am
RT @yukihr: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@rails_rt_ja » 04 Jan '13, 7pm
RT @k_teru: Reading: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) [link]
@k_teru » 04 Jan '13, 6pm
Reading: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) [link]
@rails_rt_ja » 04 Jan '13, 5pm
RT @Nagatani: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 2pm
RT @bakera: [メモ] 「Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) 」 [link]
@rails_rt_ja » 04 Jan '13, 2pm
RT @fumya: げ | 徳丸浩の日記: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性 [link]
@fumya » 04 Jan '13, 1pm
げ | 徳丸浩の日記: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性 [link]
@bakera » 04 Jan '13, 1pm
[メモ] 「Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) 」 [link]
@rails_rt_ja » 04 Jan '13, 12pm
RT @kat21: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 12pm
RT @taoyag: [B!] Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@taoyag » 04 Jan '13, 11am
[B!] Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@takochuu » 04 Jan '13, 10am
RT @honbin: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 9am
RT @goskana1: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 9am
RT @repeatedly: hmhm > "Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664)" [link]
@rails_rt_ja » 04 Jan '13, 9am
RT @kawa_xxx: [Ruby on Rails][セキュリティ] / “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@repeatedly » 04 Jan '13, 8am
hmhm > "Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664)" [link]
@rails_rt_ja » 04 Jan '13, 8am
RT @rryu2010: find_by_*にもfindと同じオプションが指定できてしまっていたのでパラメータを直に渡していると危ないが、キーがシンボルでない時はオプション扱いされないのでセーフだったということらしい。 / “Ruby on Railsのfin…” [link]
@rails_rt_ja » 04 Jan '13, 8am
RT @fmreal: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 8am
RT @yagi_: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@kyohsuke » 04 Jan '13, 7am
@bukkun Rails に SQL Injection の脆弱性が見つかりました。可能であれば修正パッチの適用されているバージョンまで引き上げた方が良いです。SeeAlso: [link]
@rryu2010 » 04 Jan '13, 7am
find_by_*にもfindと同じオプションが指定できてしまっていたのでパラメータを直に渡していると危ないが、キーがシンボルでない時はオプション扱いされないのでセーフだったということらしい。 / “Ruby on Railsのfin…” [link]
@rails_rt_ja » 04 Jan '13, 7am
RT @kimihito_: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 7am
RT @hatebu_hotentry: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@ryusei1016 » 04 Jan '13, 6am
RT @100hatebu: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link] [link]
@yoneapp » 04 Jan '13, 5am
RT @cutmail: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@wrist » 04 Jan '13, 5am
RT @tsupo: 「Ruby on Railsのfind_by_*メソッドの引数としてハッシュを指定することで、任意のSELECT文を実行できる脆弱性」 / “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE…” [link]
@tsupo » 04 Jan '13, 5am
「Ruby on Railsのfind_by_*メソッドの引数としてハッシュを指定することで、任意のSELECT文を実行できる脆弱性」 / “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE…” [link]
@rails_rt_ja » 04 Jan '13, 5am
RT @machidaryuichi: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 [link]
@rails_rt_ja » 04 Jan '13, 4am
RT @bethbeth321: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 3am
RT @beyaso: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) [link]
@ockeghem » 04 Jan '13, 2am
【再】攻撃を受ける可能性は低いものの念のため確認と対処を徳丸浩の日記: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) [link]
@yuroyoro » 04 Jan '13, 2am
find_by_*ってもうdeprecatedになったんだっけ? > Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記 : [link]
@rails_rt_ja » 04 Jan '13, 2am
RT @indigo13love: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 2am
RT @hanzawa_akio: “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記” [link]
@rails_rt_ja » 04 Jan '13, 2am
RT @xrekkusu: Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記: [link] #miteru
@rails_rt_ja » 04 Jan '13, 1am
RT @karupanerura: [security]まだしっかり読んでないけどsymbolをkeyとしたときの元々の挙動はそもそも仕様的に想定されていた挙動で、それがミスを引き起こしやすいから問題なのか、あるいはそもそも想定外の挙動だったのか知りたい。調べる。 [link]

徳丸浩の日記: Ruby on Railsのfind_by_*メソッドにSQLインジェクション...

blog.tokumaru.org 03 Jan '13, 3pm

The simple problem is, that most developers are simply not aware of the confidentiality of this file , and in result they ...

Ruby on Rails SQL injection issue

lwn.net 03 Jan '13, 1am

Ruby on Rails SQL injection issue [Posted January 3, 2013 by corbet] Ruby on Rails SQL injection issue [Security] Posted J...

Por qué aprender Ruby on Rails

cristalab.com 03 Jan '13, 8pm

Una de las cosas que me dejó el 2012 fué conocer Ruby on Rails. Luego de haber navegado un poco por PHP, haber conocido Co...

Ruby Job: Ruby on Rails Developer @WeedMaps at ...

jobs.rubyinside.com 02 Jan '13, 7am

WeedMaps is an established and profitable technology company, creating software in the fast-growing (medical) marijuana in...

Senior Ruby on Rails developer by deepblueforce...

freelancer.com 02 Jan '13, 1pm

+ HAML templating and SASS style generation + High respect for standards eg. W3C produce valid, error free readable code +...

Ruby on Rails has SQL injection vuln

theregister.co.uk 03 Jan '13, 10pm

The maintainers of Ruby on Rails are warning of an SQL injection vulnerability which affects all versions of the popular W...

sql injection vulnerability in Active Record in...

permalink.gmane.org 02 Jan '13, 9pm

SQL Injection Vulnerability in Ruby on Rails There is a SQL injection vulnerability in Active Record in ALL versions. This...

El año no puede empezar mejor con esta interesa...

trabajosrails.com 02 Jan '13, 6am

Un Desarrollador Ruby on Rails con ganas de incorporarse al equipo de The Cocktail. Alguien con experiencia en el campo de...

Happy New Years from the Edmonton Ruby Meetup. ...

yegrb.com 01 Jan '13, 5pm

With Tuesday’s BBQ YEGrb, the Edmonton Ruby Meetup, celebrates the end of another great year of events and meetups. We’re ...

New Job Alert: Custom Content Management System...

simplyhired.com 01 Jan '13, 11am

I need a custom content management system that has admin, writer, editor, and physician accounts. Essentially the admin cr...

Ruby on Rails Tutorial 2nd Ed (Addison-Welsey) ...

i-programmer.info 01 Jan '13, 6pm

This is the second edition of an acclaimed tutorial-based introduction to Ruby on Rails. This isn't an easy topic and I ca...

Vuln: Ruby on Rails CVE-2012-5664 Multiple SQL ...

securityfocus.com 01 Jan '13, 10am

Ruby on Rails CVE-2012-5664 Multiple SQL Injection Vulnerabilities

Resolving to learn to code in 2013? Check out @...

hackeryou.com 31 Dec '12, 9pm

About Brad: Brad's tech career had humble beginnings as an IT specialist, but his interests quickly blossomed into softwar...

#US [contract] Ruby on Rails Developer at ✔ #jobs

contractjob.net 31 Dec '12, 6pm

This well-funded digital start-up is searching for a progressive Software Engineer with broad technology experience in Rub...

Hotel reveal deal website in Ruby on Rails by s...

freelancer.com 30 Dec '12, 4am

I need a website similar to http://www.hotwirerevealed.com/ created in Ruby on Rails. The website should reveal deals from...