forum.opennet.ru - "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устра..." (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устра..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устра..."	+/–
Сообщение от opennews (??) on 19-Авг-14, 04:49
Представлены (http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_.../) корректирующие выпуски MVC (Model-View-Controller) web-фреймворка Ruby on Rails 4.0.9 и 4.1.5, в которых устранена опасная уязвимость (https://groups.google.com/forum/#!msg/rubyonrails-security/M...) (CVE-2014-3514), которая может привести к установке произвольных атрибутов моделей. Проблема проявляется в приложениях, использующих метод create_with в Active Record, ошибка в реализации которого позволяет обойти код защиты внутренних параметров. В качестве обходного пути защиты отмечается замена вызовов подобных "user.blog_posts.create_with(params[:blog_post]).create" на "user.blog_posts.create(params[:blog_post])" или вариант с явным перечислением разрешённых параметров - "user.blog_posts.create_with(params[:blog_post].permit(:title, :body, :etc)).create". URL: http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=40403
Ответить \| Правка \| Cообщить модератору

Оглавление

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., Аноним, 04:49 , 19-Авг-14, (1) +1

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., Аноним, 09:07 , 19-Авг-14, (2)

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., Аноним, 10:31 , 19-Авг-14, (3)

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., Гость, 11:38 , 19-Авг-14, (4)

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., Аноним, 12:55 , 19-Авг-14, (5) +1

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., Гость, 14:10 , 19-Авг-14, (6)
Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., funny_falcon, 19:23 , 19-Авг-14, (7) –1

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., Аноним, 00:30 , 20-Авг-14, (8)

Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..., us, 16:04 , 21-Авг-14, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." +1 +/–

Сообщение от Аноним (??) on 19-Авг-14, 04:49

Что, опять рубистам вкоммитили фикс на гитхаб через баг? :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." +/–

Сообщение от Аноним (??) on 19-Авг-14, 09:07

Что, опять Петросян?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." +/–

Сообщение от Аноним (??) on 19-Авг-14, 10:31

как будто тут кто-то ещё сидит

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." +/–

Сообщение от Гость (??) on 19-Авг-14, 11:38

А с рэдмайном чё?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." +1 +/–

Сообщение от Аноним (??) on 19-Авг-14, 12:55

> Versions Affected:  4.0.0 and All Later Versions.
> Not affected:       Versions earlier than 4.0.0
Редмайн на третьих рельсах.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." +/–

Сообщение от Гость (??) on 19-Авг-14, 14:10

Это хорошо :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." –1 +/–

Сообщение от funny_falcon on 19-Авг-14, 19:23

Причем, не аффектит, т.к. create_with еще не было. Простой create вполне себе надежен.
Вообще любопытно: уязвимость в новом, отнюдь не базовом функционале, аналогов которого, подозреваю, больше ни кого нет, и который среди пользователей рельс тоже еще большой популярности не набрал. А уже целую новость настрочили: пофикшена серьезная уязвимость!!!
Почему не пишут про исправления багов в Wordpress, Drupal, Symphony и прочем? Не ужели за последние полгода не было найдено серьезной уязвимости.
С дрегой стороны, спасибо за новость. Благодоря таким новостям пользователи замечательного фреймворка быстрее залатают откуда-то откопавшуюся уязвимость и поставят в календаре обновиться через несколько дней на исправленную версию. Благо, разработчики рельс довольно оперативно реагируют на подобные казусы.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." +/–

Сообщение от Аноним (??) on 20-Авг-14, 00:30

Потому что любят RoR, это ведь хороше.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Новые выпуски  Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..." +/–

Сообщение от us (??) on 21-Авг-14, 16:04

123
ewew

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	+1 +/–
Сообщение от Аноним (??) on 19-Авг-14, 04:49
Что, опять рубистам вкоммитили фикс на гитхаб через баг? :)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	+/–
	Сообщение от Аноним (??) on 19-Авг-14, 09:07
	Что, опять Петросян?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	+/–
	Сообщение от Аноним (??) on 19-Авг-14, 10:31
	как будто тут кто-то ещё сидит
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	+/–
Сообщение от Гость (??) on 19-Авг-14, 11:38
А с рэдмайном чё?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	+1 +/–
	Сообщение от Аноним (??) on 19-Авг-14, 12:55
	> Versions Affected: 4.0.0 and All Later Versions. > Not affected: Versions earlier than 4.0.0 Редмайн на третьих рельсах.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	+/–
	Сообщение от Гость (??) on 19-Авг-14, 14:10
	Это хорошо :)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	–1 +/–
	Сообщение от funny_falcon on 19-Авг-14, 19:23
	Причем, не аффектит, т.к. create_with еще не было. Простой create вполне себе надежен. Вообще любопытно: уязвимость в новом, отнюдь не базовом функционале, аналогов которого, подозреваю, больше ни кого нет, и который среди пользователей рельс тоже еще большой популярности не набрал. А уже целую новость настрочили: пофикшена серьезная уязвимость!!! Почему не пишут про исправления багов в Wordpress, Drupal, Symphony и прочем? Не ужели за последние полгода не было найдено серьезной уязвимости. С дрегой стороны, спасибо за новость. Благодоря таким новостям пользователи замечательного фреймворка быстрее залатают откуда-то откопавшуюся уязвимость и поставят в календаре обновиться через несколько дней на исправленную версию. Благо, разработчики рельс довольно оперативно реагируют на подобные казусы.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	+/–
	Сообщение от Аноним (??) on 20-Авг-14, 00:30
	Потому что любят RoR, это ведь хороше.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору

9. "Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уяз..."	+/–
Сообщение от us (??) on 21-Авг-14, 16:04
123 ewew
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору