Portál AbcLinuxu, 1. května 2025 16:54

Ruby on Rails opravují kritickou bezpečnostní chybu

Vývojáři Ruby on Rails vydali nové verze 3.0.20 a 2.3.16, které obsahují opravu jediné, ale za to extrémně kritické bezpečnostní chyby. Ta spočívala ve zneužití XML parseru k vytvoření exploitu a vzdálenému spuštění kódu. Upgrade je vývojáři silně doporučen.

31.1.2013 13:48 | Migi | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

31.1.2013 14:00 washeck | skóre: 4
Rozbalit Rozbalit vše Re: Ruby on Rails opravují kritickou bezpečnostní chybu
Odpovědět | Sbalit | Link | Blokovat | Admin
Mám pocit, že v poslední době se o RoR píše jenom v souvislosti s jednou kritickou dírou za druhou.
31.1.2013 14:15 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Ruby on Rails opravují kritickou bezpečnostní chybu
Teď už to aspoň opravují, předtím to úmyslně neopravovali :-D
xvasek avatar 31.1.2013 19:21 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Ruby on Rails opravují kritickou bezpečnostní chybu
Jj,RoR je pěkný cedník. :-/
4.2.2013 09:46 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Ruby on Rails opravují kritickou bezpečnostní chybu
Je to tak, kromě toho Rubyisti nemohou řádně aktualizovat, protože byl díky této chybě napaden server rubygems.org a některé gemy (knihovny) byly napadeny. Probíhá šetření, server běží v read only režimu. Já osobně bych z toho teda raději neinstaloval nic.

A Rubyisti se ne a ne poušit ze zkušeností starších, například balíčkovacích systémů u distribucí, které se digitálně podepisují. Řekl bych, že nyní tam podpisy už přidají. Prostě musejí padnout na hubu, asi se s tím nedá nic dělat.

Jinak knihovní systém rubygems je vadný a nesmírně pomalý, protože umožňuje instalovat stejné balíčky ve více verzích, což může být někdy sice "cool", ale čím víc jich nainstalujete, tím pomaleji Ruby pak startuje (protože prohledává pro každý require stovky, tisíce a včera jsem naměřil celkem 170 tisíc stat/open systémových volání s ENOENT výsledkem).

Jsou to pankáči. Rubyisti obecně nemají v lásce PHP, jenže já bych řekl, že Ruby je dnešní PHP. Potřebují trošku schladit a začít věci dělat pořádně, trošku "postaru".

-- Autor není Rubyista, ale pracuje na velkém open-source systému napsaném v Ruby on Rails ;)
Later --- Lukáš Zapletal
4.2.2013 11:57 Michal Karas | skóre: 45 | blog: /dev/random
Rozbalit Rozbalit vše Re: Ruby on Rails opravují kritickou bezpečnostní chybu
Jinak knihovní systém rubygems je vadný a nesmírně pomalý, protože umožňuje instalovat stejné balíčky ve více verzích, což může být někdy sice "cool", ale čím víc jich nainstalujete, tím pomaleji Ruby pak startuje (protože prohledává pro každý require stovky, tisíce a včera jsem naměřil celkem 170 tisíc stat/open systémových volání s ENOENT výsledkem).
Zajímavé. Zkoušeli jste i co s tím udělá Bundler? Jestli dokáže všechny ty nepouživané gemy odřezat i z require?
31.1.2013 14:28 Michal Karas | skóre: 45 | blog: /dev/random
Rozbalit Rozbalit vše Re: Ruby on Rails opravují kritickou bezpečnostní chybu
Odpovědět | Sbalit | Link | Blokovat | Admin
Bezpečnostní díra související s parsováním XML => YAML už tu byla dříve: Ruby on Rails 3.2.11, 3.1.10, 3.0.19 a 2.3.15

I když je princip víceméně stejný, tak tentokrát je zranitelnost zneužitelná přes JSON => YAML. Viz například Rails PoC exploit for CVE-2013-0333.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.