URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129560
[ Назад ]
Исходное сообщение
"В Ruby on Rails устранена уязвимость, допускающая подстановку SQL-кода"
Отправлено opennews , 20-Янв-23 13:20 
Опубликованы корректирующие обновления фреймворка  Ruby on  Rails 7.0.4.1, 6.1.7.1 и 6.0.6.1, в которых устранено 6 уязвимостей. Наиболее опасная уязвимость (CVE-2023-22794) может привести к выполнению заданных атакующим SQL-команд при использовании внешних данных в комментариях, обрабатываемых в ActiveRecord. Проблема вызвана отсутствием необходимого экранирования спецсимволов в комментариях перед их сохранением в СУБД...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58519

Содержание
Сообщения в этом обсуждении
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 13:20 
> ActiveRecord
> Проблема вызвана отсутствием необходимого экранирования

Но как, Бэрримор?

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено хрю , 20-Янв-23 13:28 
Подросло поколение не знающих, что такое SQL инъекции? Они же бичЪ php.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 13:53 
помню в нулевые чуть ли не каждый второй сайт на пыхе имел это. Проверять можно было тупо подставляя апостроф в конец айдишника урла, типа news.php?id=123'. Обычно приводило к ошибкам mysql и headers already sent. Далее опционально можно было вводить остальную часть запроса, на античате выкладывали готовые методички, как действовать дальше в зависимости от ответа сервера.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено хрю , 20-Янв-23 14:28 
20 лет назад, наспор ломал любой порнушный сайт :-))) ибо они были все написаны студентами на 3 php в понятно каком стиле.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Порнушник , 20-Янв-23 15:56 
Так вот кто мне сайт в 2002 году сломал? Ирод, окаянный!
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Бывалый смузихлёб , 20-Янв-23 16:22 
вот из-за кого с тех пор количество годных прон-сайтов в рунете сильно поубавилось!
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 16:57 
я в 2002 году начинал писать на php, повсеместно уже был php4, php3 было найти не так просто :) проще сайты на perl было найти :)
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 14:07 
Кажется, кто-то не вкурил, что такое ActiveRecord и об чём был пост.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено хрю , 20-Янв-23 14:25 
В рельсах реализация шаблона ActiveRecord, называется, внезапно, ActiveRecord.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Порнушник , 20-Янв-23 15:57 
Раз они такие умные чего дыру у себя сделали тогда? Не нужны нам эти ваши руби.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено mos87 , 20-Янв-23 13:37 
Little Bobby Tables strikes again.

зато Ruby крутой, для ценителей ёпт.

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вечно недовольный аноним , 20-Янв-23 13:40 
А что полезного написано с РоРом кроме дисковода из соседней новости? Я думал вебом управляет питон и вордпресс, помогите просветиться.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Васян , 20-Янв-23 13:46 
GitHub пойдёт?

Twitch, SoundCloud, Airbnb......

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 13:55 
Кто-то в трезвом уме пользуется GitHub-ом?!
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Васян , 20-Янв-23 15:16 
Так, немного, 70 миллионов всего... Вот лохи, правда? Зашли бы на опеннет, тут бы им быстро и авторитетно растолковали всю глубину их невежества...
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вы забыли заполнить поле Name , 20-Янв-23 15:58 
И сколько из 70 Лямов там Гуанахуато на жс каком-нибудь или зеркал?
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вечно недовольный аноним , 20-Янв-23 15:21 
А гитхаб уже хакнули?
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 15:52 
Вроде как их уже хакали по рельсам.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 21-Янв-23 00:11 
Гитхаб в 2012 эпично хакнули залив пулл-реквест в репу РоРа с исправлением эксплойта, благодаря которому хак был возможен.
https://arstechnica.com/information-technology/2012/03/hacke.../
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вы забыли заполнить поле Name , 21-Янв-23 01:15 
> Гитхаб в 2012 эпично хакнули залив пулл-реквест в репу РоРа с исправлением
> эксплойта, благодаря которому хак был возможен.
> https://arstechnica.com/information-technology/2012/03/hacke.../

Да, помню эту историю, Хомяков красавчик.

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 21-Янв-23 10:12 
Да https://www.opennet.dev/opennews/art.shtml?num=33268
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вы забыли заполнить поле Name , 20-Янв-23 15:57 
github enterprise жрет как в не себя
SoundCloud во всю на go перешёл
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено хрю , 20-Янв-23 14:33 
Не знаю как сейчас, но вроде одно время сайт нетфликс был на рельсе (остатки былого https://github.com/Netflix/fast_jsonapi). В одно время рельса была прям жутко популярна.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Бывалый смузихлёб , 20-Янв-23 16:32 
> В одно время рельса была прям жутко популярна.

В одно, очень небольшое время. Но оно показало, насколько заказчики в среднем ослы - без каких-либо внятных обоснований, когда рубин-на-рельсах был на слуху, требовали пилить бэк именно на нём, а не на каком-то там пыхе или питоне
В итоге, многие сейчас в поту бегают и ищут хоть кого-то на поддержку своих говносерверов

Складывается ощущение, что энная группа лиц или ИТ-контор специально предварительно раскурила р-н-р, после - пустила мощный медийный шум и срубила очень славные деньги на разработке на этом, пока остальные только расшевеливались в изучении этих отходов, а самые денежные и модные заказчики - уже требовали срочно забрать все их деньги и сделать хоть что-то на этом б-жественном непойми чём.
Ну а то что по всяким хренабрам и его последователям славный шум разошёлся - так такова участь придатков западных инфоканалов. Они всегда будут лишь догоняющими холопами, а заказчики их - влезающими в д.мо по самые уши, ведь никто из адептов-пейсателей восторженных статеек по теме великого и крутого рубина-на-рельсах абсолютно ни за что не отвечает в плане издержек конечного заказчика из-за рубина, внезапно превратившегося в тыкву

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено хрю , 22-Янв-23 16:02 
>> Но оно показало, насколько заказчики в среднем ослы

Почему ослы? Им надо быстро выйти на рынок и занять нишу и получить инвестиции, что будет потом и будет ли это потом дело десятое. В своё время рельса была в этом деле тру. Ниша занята, инвестиционное быбло получено, можно нанимать нормальных разрабов, думать и пилить.  

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Бывалый смузихлёб , 24-Янв-23 16:35 
>>> Но оно показало, насколько заказчики в среднем ослы
> Почему ослы? Им надо быстро выйти на рынок и занять нишу и
> получить инвестиции, что будет потом и будет ли это потом дело
> десятое. В своё время рельса была в этом деле тру. Ниша
> занята, инвестиционное быбло получено, можно нанимать нормальных разрабов, думать и пилить.

Они бы это и с супер развитым пыхом могли запросто, но там даже не ниша, а тупо разработка под заказ и конечный результат участников вообще не волнует
А по рубину на рельсах - не было ничего, кроме пачки влажных розовых статеек на х*бре

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено ShpurloS , 20-Янв-23 16:04 
Redmine
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 16:55 
Мастодон.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Petya , 20-Янв-23 20:23 
Навскидку Github, Gitlab, Stripe, Zendesk, Upwork, Kickstarter, Mastodon, Twitter, Netflix. Много где используется. Смотрел статистику стартапов-единорогов(которые выросли в итоге в миллиардные бизнесы) из долины и на каком стеке изначально они поднимались. Так там добрая половина проектов была именно на RoR. не пхп, не питон, а именно рельсы, меня это удивило.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вы забыли заполнить поле Name , 20-Янв-23 23:36 
Twitter разве не на скале?
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 21-Янв-23 00:15 
Его потом кусками переписывали на микросервисы на Скале, изначально он на рельсах работал.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вы забыли заполнить поле Name , 21-Янв-23 01:11 
> Его потом кусками переписывали на микросервисы на Скале, изначально он на рельсах
> работал.

Значит надо так и писать, что использовался.

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 14:09 
Ну вот нахрена устранили, ведь так удобненько было!
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вы забыли заполнить поле Name , 20-Янв-23 16:00 
Поезд сошёл с рельс. Быстро хайп прошёл. Лозунг программист дороже железа забыт. Вот так вот сынки.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 22:18 
> Лозунг программист дороже железа забыт.

ну да.... То то сейчас по рейтингам популярности питон на первом месте, хотя ни эффективности в скорости написания кода в сравнении с Руби, ни эффективности выполнения не имеет.

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вы забыли заполнить поле Name , 21-Янв-23 01:13 
>> Лозунг программист дороже железа забыт.
> ну да.... То то сейчас по рейтингам популярности питон на первом месте,
> хотя ни эффективности в скорости написания кода в сравнении с Руби,
> ни эффективности выполнения не имеет.

Для питона куча биндингов и либ. А когда дело доходит до цены за ресурсы, то с него уходят на другие инструменты.

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 21-Янв-23 08:44 
> Для питона куча биндингов и либ. А когда дело доходит до цены за ресурсы, то с него уходят на другие инструменты.

Совершенно верно, питону в вебе не место. Хотя, сложно вообще найти применение питону кроме как какие-то скриптики конфигурирования чего-то или копирования файлов

"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 16:58 
Не знаю Ruby и шаблон ActiveRecord, но предпочитаю prepared statement  экранированию.
Подготовленные запросы заведомо более безопасны, чем экранирование
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Аноним , 20-Янв-23 19:56 
Руби (РоР) любят за понятный человеку ближе синтаксис.
"В Ruby on Rails устранена уязвимость, допускающая подстановк..."
Отправлено Вы забыли заполнить поле Name , 21-Янв-23 01:18 
> Руби (РоР) любят за понятный человеку ближе синтаксис.

У тебя syntax error

Руби (РоР) любят за понятный человеку ближе синтаксис end

Поправил, не благодари.