В Ruby on Rails устранена уязвимость, позволяющая осуществить подстановку SQL-кода

03.01.2013 11:27

Доступны для внепланового обновления корректирующие выпуски фреймворка Ruby on Rails 3.2.10, 3.1.9 и 3.0.18, в которых устранена опасная уязвимость (CVE-2012-5664). Уязвимость позволяет осуществить выполнение произвольного SQL-кода на сервере через передачу специально оформленного запроса (например, "/?id\\[limit\\]=1'") к web-приложению, использующему интерфейс динамического поиска Active Record в сочетании с передачей переменной без явного преобразования типа (например, уязвимы приложения с кодом подобным Post.find_by_id(params[:id]), для защиты достаточно использовать явное преобразование в строку: Post.find_by_id(params[:id].to_s)). Обновление выпущено в экстренном порядке, так как в сети уже можно найти готовый эксплоит для осуществления атаки.