Faille critique de sécurité pour Ruby on Rails

11.02.2013 | Réseau Dumac
785 visiteurs  -  Aucun commentaire

Le parser Json natif de Ruby On Rails peut être détourné pour passer du code malicieux au paramètre du #tag d’une appli.

En se basant sur le principe de dé-sérialisation, un attaquant peut simuler une méthode pour assigner des valeurs en masse à des attributs protégés.

Ce hack a été testé sur les frameworks ActiveRecord http://api.rubyonrails.org/classes/ActiveRecord/Base.html et Mongoid http://mongoid.org/en/mongoid/docs/rails.html, sur une base Rails 3.2.11.

Toutes les applications RoR doivent par conséquent utiliser une version à jour de Jason, voir ici https://github.com/flori/json

Source de l’information : http://www.zweitag.de/en/blog/ruby-on-rails-vulnerable-to-mass-assignment-and-sql-injection

Dans la même rubrique

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 4 visiteurs par jour (105372 au total)

Haut de page | XHTML 1.0 | CSS 2