Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles
Ruby on Rails 3.2.10, 3.1.9 et 3.0.18 disponibles
pour corriger une faille critique pouvant permettre des attaques par injection SQL
Les développeurs de Ruby on Rails mettent en garde contre une vulnérabilité qui affecte toutes les versions du Framework Web libre.
La faille se situe au niveau de l’interface d’interrogation des bases de données « Active Record database », et peut être exploitée par un pirate pour prendre le contrôle d’une base de données par injection SQL.
Suite à cette découverte, les développeurs du Framework Web ont travaillé d'arrache-pied pour livrer de nouvelles versions de Ruby on Rails, qui viennent corriger cette faille. Rails 3.2.10, 3.1.9 et 3.0.18 sont actuellement disponibles en téléchargement.
Pour les utilisateurs ne pouvant pas appliquer immédiatement ces mises à jour, les développeurs de Rails ont publié une solution de contournement avec des correctifs qui peuvent facilement être appliqués aux anciennes versions, dont celles qui ne sont plus prises en charge.
Les responsables du projet conseillent aux utilisateurs de mettre à niveau immédiatement leur version de Ruby on Rails, compte tenu du fait que la faille ait déjà été divulguée publiquement.
:fleche: L'avis de sécurité
:fleche: La solution de contournement
:fleche: Télécharger les nouvelles versions de Rails
Source : Blog du projet
Sortie de nouvelles versions de Ruby On Rails
Sortie de nouvelles versions de Ruby On Rails
pour corriger deux failles critiques pouvant permettre des injections SQL
L'année démarre sous pression pour les développeurs de Ruby On Rails, le Framework Web libre écrit en Ruby.
En l’espace d’une semaine seulement, ceux-ci ont patché à deux reprises Rails pour corriger des vulnérabilités critiques dans la solution.
Les utilisateurs de Rails sont invités à appliquer rapidement les nouvelles mises à jour du Framework qui viennent d’être publiées.
Ces mises à jour corrigent deux vulnérabilités. La première faille, numérotée CVE-2013-0156, pourrait être exploitée par des pirates pour contourner les systèmes d’authentification afin d’effectuer des attaques par injection SQL et par déni de service. La vulnérabilité se trouve au niveau du code d’analyse des paramètres de Rails.
La seconde faille (CVE-2013-0155) se trouve au niveau de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Elle peut être utilisée pour envoyer des requêtes SQL inattendues en utilisant la commande « IS NULL ».
Les développeurs du Framework Web ont libéré quatre mises à jour de Rails, dont les versions : 3.2.11, 3.1.10, 3.0.19 et 2.3.15.
:fleche: Télécharger les nouvelles versions de Rails
Source : Blog du projet