Publicité
+ Répondre à la discussion Actualité déjà publiée
Affichage des résultats 1 à 5 sur 5
  1. #1
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro Hinault Romaric
    Consultant
    Inscrit en
    janvier 2007
    Messages
    3 972
    Détails du profil
    Informations personnelles :
    Nom : Homme Hinault Romaric
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 3 972
    Points : 58 787
    Points
    58 787

    Par défaut Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles

    Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles
    pour corriger une faille critique pouvant permettre des attaques par injection SQL

    Les développeurs de Ruby on Rails mettent en garde contre une vulnérabilité qui affecte toutes les versions du Framework Web libre.

    La faille se situe au niveau de l’interface d’interrogation des bases de données « Active Record database », et peut être exploitée par un pirate pour prendre le contrôle d’une base de données par injection SQL.




    Suite à cette découverte, les développeurs du Framework Web ont travaillé d'arrache-pied pour livrer de nouvelles versions de Ruby on Rails, qui viennent corriger cette faille. Rails 3.2.10, 3.1.9 et 3.0.18 sont actuellement disponibles en téléchargement.

    Pour les utilisateurs ne pouvant pas appliquer immédiatement ces mises à jour, les développeurs de Rails ont publié une solution de contournement avec des correctifs qui peuvent facilement être appliqués aux anciennes versions, dont celles qui ne sont plus prises en charge.

    Les responsables du projet conseillent aux utilisateurs de mettre à niveau immédiatement leur version de Ruby on Rails, compte tenu du fait que la faille ait déjà été divulguée publiquement.

    L'avis de sécurité

    La solution de contournement

    Télécharger les nouvelles versions de Rails


    Source : Blog du projet
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro Hinault Romaric
    Consultant
    Inscrit en
    janvier 2007
    Messages
    3 972
    Détails du profil
    Informations personnelles :
    Nom : Homme Hinault Romaric
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 3 972
    Points : 58 787
    Points
    58 787

    Par défaut Sortie de nouvelles versions de Ruby On Rails

    Sortie de nouvelles versions de Ruby On Rails
    pour corriger deux failles critiques pouvant permettre des injections SQL

    L'année démarre sous pression pour les développeurs de Ruby On Rails, le Framework Web libre écrit en Ruby.

    En l’espace d’une semaine seulement, ceux-ci ont patché à deux reprises Rails pour corriger des vulnérabilités critiques dans la solution.

    Les utilisateurs de Rails sont invités à appliquer rapidement les nouvelles mises à jour du Framework qui viennent d’être publiées.

    Ces mises à jour corrigent deux vulnérabilités. La première faille, numérotée CVE-2013-0156, pourrait être exploitée par des pirates pour contourner les systèmes d’authentification afin d’effectuer des attaques par injection SQL et par déni de service. La vulnérabilité se trouve au niveau du code d’analyse des paramètres de Rails.

    La seconde faille (CVE-2013-0155) se trouve au niveau de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Elle peut être utilisée pour envoyer des requêtes SQL inattendues en utilisant la commande « IS NULL ».

    Les développeurs du Framework Web ont libéré quatre mises à jour de Rails, dont les versions : 3.2.11, 3.1.10, 3.0.19 et 2.3.15.




    Télécharger les nouvelles versions de Rails

    Source : Blog du projet
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  3. #3
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro Hinault Romaric
    Consultant
    Inscrit en
    janvier 2007
    Messages
    3 972
    Détails du profil
    Informations personnelles :
    Nom : Homme Hinault Romaric
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 3 972
    Points : 58 787
    Points
    58 787

    Par défaut

    Troisième mise à jour de sécurité pour Ruby On Rails en un mois
    les versions 3.0.20 et 2.3.16 corrigent une faille extrêmement critique


    Ruby On Rails, le framework Web libre écrit en Ruby reçoit pour la troisième fois consécutive en l’espace d’un mois seulement une autre mise à jour de sécurité.

    Les développeurs de l’outil ont annoncé la sortie des versions 3.0.20 et 2.3.16 de Ruby On Rails, qui apportent un correctif de sécurité extrêmement critique.

    La vulnérabilité étiquetée « CVE-2013-0333 » se situe au niveau du traitement des données au format JSON (JavaScript Object Notation) et pourrait être exploitée par un pirate distant pour contourner les systèmes d’authentification et effectuer des injections SQL pour compromettre les données, exécuter du code arbitraire ou effectuer des attaques par déni de service (DoS).

    Cette mise à jour est la dernière version pour la série 3.0.x, qui ne sera plus supportée. Il est conseillé aux utilisateurs encore sur cette version de migrer vers les branches 3.1.x et 3.2.x qui ne sont pas affectées par cette vulnérabilité.

    Les développeurs de Ruby On Rails conseillent d’appliquer rapidement ces mises à jour de sécurité.




    Télécharger Rails 3.0.20 et 2.3.16

    Détails sur la vulnérabilité

    Source : Blog du projet
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  4. #4
    Membre Expert
    Homme Profil pro Pierre Louis Chevalier
    Directeur des systèmes d'information
    Inscrit en
    avril 2002
    Messages
    584
    Détails du profil
    Informations personnelles :
    Nom : Homme Pierre Louis Chevalier
    Âge : 54
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : avril 2002
    Messages : 584
    Points : 1 372
    Points
    1 372

    Par défaut

    Quelqu'un utilise Ruby on Rails et en est content ?

    Ou c'est juste une technologie lourde, lente, bourrée de failles, et passée de mode ?

  5. #5
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro Hinault Romaric
    Consultant
    Inscrit en
    janvier 2007
    Messages
    3 972
    Détails du profil
    Informations personnelles :
    Nom : Homme Hinault Romaric
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 3 972
    Points : 58 787
    Points
    58 787

    Par défaut

    Ruby on Rails : de nouvelles versions du framework Web disponibles
    pour corriger des failles critiques pouvant entrainer des injections SQL

    Deux vulnérabilités critiques ont été corrigées dans le framework Web open source Ruby on Rails.

    Les développeurs de l’outil ont publié les versions 3.2.19, 4.0.7 et 4.1.3 de Rails. Quelques heures plus tard, ils ont publié les versions 4.0.7 et 4.1.3 pour corriger des problèmes de régression causés par les mises à jour 4.0.7 et 4.1.3.

    Selon les bulletins de sécurité qui ont été publiés, les deux failles sont liées et peuvent être exploitées par des pirates pour effectuer des attaques par injection SQL sur les systèmes affectés, en utilisant des valeurs spécialement conçues.




    La première faille affecte Rails de la version 2.0.0 à la version 3.2.18 et touche particulièrement les applications qui utilisent le gestionnaire de bases de données PostgreSQL. La seconde faille touche les applications qui utilisent la version 4.0.0 et 4.1.2, ainsi que PostgreSQL également.

    La seule solution possible au problème, selon les développeurs de Rails, est d’éviter l’utilisation des types de données concernées dans les requêtes. Ce qui n’est pas évident. C'est pourquoi les développeurs de Rails invitent les utilisateurs du Framework à mettre à jour urgemment la version qu’ils utilisent, afin d’être à l’abri des potentiels exploits qui reposent sur ces failles de sécurité.

    Dans le cas ou une mise à jour immédiate n’est pas possible, les développeurs de Rails ont publié du code qui peut être appliqué manuellement pour corriger ces failles.

    Ruby on Rails est un framework qui jouit d’une popularité importante dans l’écosystème du Web. Le framework fait partie du programme « Internet Bug Bounty », sponsorisé par Facebook et Microsoft, qui récompense la découverte des failles de sécurité dans les éléments clés de l’infrastructure d’Internet.

    Télécharger les nouvelles versions

    Source : Blog Rails
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •