Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles

Hinault Romaric · 04/01/2013, 16h16

Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles
pour corriger une faille critique pouvant permettre des attaques par injection SQL

Les développeurs de Ruby on Rails mettent en garde contre une vulnérabilité qui affecte toutes les versions du Framework Web libre.

La faille se situe au niveau de l’interface d’interrogation des bases de données « Active Record database », et peut être exploitée par un pirate pour prendre le contrôle d’une base de données par injection SQL.

Suite à cette découverte, les développeurs du Framework Web ont travaillé d'arrache-pied pour livrer de nouvelles versions de Ruby on Rails, qui viennent corriger cette faille. Rails 3.2.10, 3.1.9 et 3.0.18 sont actuellement disponibles en téléchargement.

Pour les utilisateurs ne pouvant pas appliquer immédiatement ces mises à jour, les développeurs de Rails ont publié une solution de contournement avec des correctifs qui peuvent facilement être appliqués aux anciennes versions, dont celles qui ne sont plus prises en charge.

Les responsables du projet conseillent aux utilisateurs de mettre à niveau immédiatement leur version de Ruby on Rails, compte tenu du fait que la faille ait déjà été divulguée publiquement.

L'avis de sécurité

La solution de contournement

Télécharger les nouvelles versions de Rails

Source : Blog du projet

Hinault Romaric · 10/01/2013, 15h03

Sortie de nouvelles versions de Ruby On Rails
pour corriger deux failles critiques pouvant permettre des injections SQL

L'année démarre sous pression pour les développeurs de Ruby On Rails, le Framework Web libre écrit en Ruby.

En l’espace d’une semaine seulement, ceux-ci ont patché à deux reprises Rails pour corriger des vulnérabilités critiques dans la solution.

Les utilisateurs de Rails sont invités à appliquer rapidement les nouvelles mises à jour du Framework qui viennent d’être publiées.

Ces mises à jour corrigent deux vulnérabilités. La première faille, numérotée CVE-2013-0156, pourrait être exploitée par des pirates pour contourner les systèmes d’authentification afin d’effectuer des attaques par injection SQL et par déni de service. La vulnérabilité se trouve au niveau du code d’analyse des paramètres de Rails.

La seconde faille (CVE-2013-0155) se trouve au niveau de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Elle peut être utilisée pour envoyer des requêtes SQL inattendues en utilisant la commande « IS NULL ».

Les développeurs du Framework Web ont libéré quatre mises à jour de Rails, dont les versions : 3.2.11, 3.1.10, 3.0.19 et 2.3.15.

Télécharger les nouvelles versions de Rails

Source : Blog du projet

Hinault Romaric · 30/01/2013, 15h03

Troisième mise à jour de sécurité pour Ruby On Rails en un mois
les versions 3.0.20 et 2.3.16 corrigent une faille extrêmement critique

Ruby On Rails, le framework Web libre écrit en Ruby reçoit pour la troisième fois consécutive en l’espace d’un mois seulement une autre mise à jour de sécurité.

Les développeurs de l’outil ont annoncé la sortie des versions 3.0.20 et 2.3.16 de Ruby On Rails, qui apportent un correctif de sécurité extrêmement critique.

La vulnérabilité étiquetée « CVE-2013-0333 » se situe au niveau du traitement des données au format JSON (JavaScript Object Notation) et pourrait être exploitée par un pirate distant pour contourner les systèmes d’authentification et effectuer des injections SQL pour compromettre les données, exécuter du code arbitraire ou effectuer des attaques par déni de service (DoS).

Cette mise à jour est la dernière version pour la série 3.0.x, qui ne sera plus supportée. Il est conseillé aux utilisateurs encore sur cette version de migrer vers les branches 3.1.x et 3.2.x qui ne sont pas affectées par cette vulnérabilité.

Les développeurs de Ruby On Rails conseillent d’appliquer rapidement ces mises à jour de sécurité.

Télécharger Rails 3.0.20 et 2.3.16

Détails sur la vulnérabilité

Source : Blog du projet

Pierre Louis Chevalier · 01/02/2013, 16h40

Quelqu'un utilise Ruby on Rails et en est content ?

Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?

04/01/2013, 16h16	#1
Hinault Romaric Responsable Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 833 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 833 Points : 37 575 Points : 37 575	Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles pour corriger une faille critique pouvant permettre des attaques par injection SQL Les développeurs de Ruby on Rails mettent en garde contre une vulnérabilité qui affecte toutes les versions du Framework Web libre. La faille se situe au niveau de l’interface d’interrogation des bases de données « Active Record database », et peut être exploitée par un pirate pour prendre le contrôle d’une base de données par injection SQL. Suite à cette découverte, les développeurs du Framework Web ont travaillé d'arrache-pied pour livrer de nouvelles versions de Ruby on Rails, qui viennent corriger cette faille. Rails 3.2.10, 3.1.9 et 3.0.18 sont actuellement disponibles en téléchargement. Pour les utilisateurs ne pouvant pas appliquer immédiatement ces mises à jour, les développeurs de Rails ont publié une solution de contournement avec des correctifs qui peuvent facilement être appliqués aux anciennes versions, dont celles qui ne sont plus prises en charge. Les responsables du projet conseillent aux utilisateurs de mettre à niveau immédiatement leur version de Ruby on Rails, compte tenu du fait que la faille ait déjà été divulguée publiquement. L'avis de sécurité La solution de contournement Télécharger les nouvelles versions de Rails Source : Blog du projet __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	30

10/01/2013, 15h03	#2
Hinault Romaric Responsable Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 833 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 833 Points : 37 575 Points : 37 575	Sortie de nouvelles versions de Ruby On Rails Sortie de nouvelles versions de Ruby On Rails pour corriger deux failles critiques pouvant permettre des injections SQL L'année démarre sous pression pour les développeurs de Ruby On Rails, le Framework Web libre écrit en Ruby. En l’espace d’une semaine seulement, ceux-ci ont patché à deux reprises Rails pour corriger des vulnérabilités critiques dans la solution. Les utilisateurs de Rails sont invités à appliquer rapidement les nouvelles mises à jour du Framework qui viennent d’être publiées. Ces mises à jour corrigent deux vulnérabilités. La première faille, numérotée CVE-2013-0156, pourrait être exploitée par des pirates pour contourner les systèmes d’authentification afin d’effectuer des attaques par injection SQL et par déni de service. La vulnérabilité se trouve au niveau du code d’analyse des paramètres de Rails. La seconde faille (CVE-2013-0155) se trouve au niveau de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Elle peut être utilisée pour envoyer des requêtes SQL inattendues en utilisant la commande « IS NULL ». Les développeurs du Framework Web ont libéré quatre mises à jour de Rails, dont les versions : 3.2.11, 3.1.10, 3.0.19 et 2.3.15. Télécharger les nouvelles versions de Rails Source : Blog du projet __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	10

30/01/2013, 15h03	#3
Hinault Romaric Responsable Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 833 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 833 Points : 37 575 Points : 37 575	Troisième mise à jour de sécurité pour Ruby On Rails en un mois les versions 3.0.20 et 2.3.16 corrigent une faille extrêmement critique Ruby On Rails, le framework Web libre écrit en Ruby reçoit pour la troisième fois consécutive en l’espace d’un mois seulement une autre mise à jour de sécurité. Les développeurs de l’outil ont annoncé la sortie des versions 3.0.20 et 2.3.16 de Ruby On Rails, qui apportent un correctif de sécurité extrêmement critique. La vulnérabilité étiquetée « CVE-2013-0333 » se situe au niveau du traitement des données au format JSON (JavaScript Object Notation) et pourrait être exploitée par un pirate distant pour contourner les systèmes d’authentification et effectuer des injections SQL pour compromettre les données, exécuter du code arbitraire ou effectuer des attaques par déni de service (DoS). Cette mise à jour est la dernière version pour la série 3.0.x, qui ne sera plus supportée. Il est conseillé aux utilisateurs encore sur cette version de migrer vers les branches 3.1.x et 3.2.x qui ne sont pas affectées par cette vulnérabilité. Les développeurs de Ruby On Rails conseillent d’appliquer rapidement ces mises à jour de sécurité. Télécharger Rails 3.0.20 et 2.3.16 Détails sur la vulnérabilité Source : Blog du projet __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	20

01/02/2013, 16h40	#4
Pierre Louis Chevalier Membre chevronné Pierre Louis Chevalier Directeur des systèmes d'information Inscription : avril 2002 Messages : 433 Détails du profil Informations personnelles : Nom : Pierre Louis Chevalier Âge : 53 Localisation : Luxembourg Informations professionnelles : Activité : Directeur des systèmes d'information Secteur : Finance Informations forums : Inscription : avril 2002 Messages : 433 Points : 665 Points : 665	Quelqu'un utilise Ruby on Rails et en est content ? Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?
	03

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email