ProHoster > Π‘Π»ΠΎΠ³ > Новости ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π° > Π’ Ruby on Rails устранСна ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, Π΄ΠΎΠΏΡƒΡΠΊΠ°ΡŽΡ‰Π°Ρ подстановку SQL-ΠΊΠΎΠ΄Π°

Π’ Ruby on Rails устранСна ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, Π΄ΠΎΠΏΡƒΡΠΊΠ°ΡŽΡ‰Π°Ρ подстановку SQL-ΠΊΠΎΠ΄Π°

ΠžΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Ρ‹ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ обновлСния Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠ° Ruby on Rails 7.0.4.1, 6.1.7.1 ΠΈ 6.0.6.1, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… устранСно 6 уязвимостСй. НаиболСС опасная ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2023-22794) ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ Π·Π°Π΄Π°Π½Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΌ SQL-ΠΊΠΎΠΌΠ°Π½Π΄ ΠΏΡ€ΠΈ использовании Π²Π½Π΅ΡˆΠ½ΠΈΡ… Π΄Π°Π½Π½Ρ‹Ρ… Π² коммСнтариях, ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Π΅ΠΌΡ‹Ρ… Π² ActiveRecord. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π²Ρ‹Π·Π²Π°Π½Π° отсутствиСм Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΠ³ΠΎ экранирования спСцсимволов Π² коммСнтариях ΠΏΠ΅Ρ€Π΅Π΄ ΠΈΡ… сохранСниСм Π² Π‘Π£Π‘Π”.

Вторая ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2023-22797) ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ ΠΊ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ проброса Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΠ΅ страницы (ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ Ρ€Π΅Π΄ΠΈΡ€Π΅ΠΊΡ‚) ΠΏΡ€ΠΈ использовании Π½Π΅ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… Π²Π½Π΅ΡˆΠ½ΠΈΡ… Π΄Π°Π½Π½Ρ‹Ρ… Π² ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ΅ redirect_to. ΠžΡΡ‚Π°Π»ΡŒΠ½Ρ‹Π΅ 4 уязвимости приводят ΠΊ ΠΎΡ‚ΠΊΠ°Π·Ρƒ Π² обслуТивании ΠΈΠ·-Π·Π° создания высокой Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Π½Π° систСму (Π² основном ΠΈΠ·-Π·Π° ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ Π²Π½Π΅ΡˆΠ½ΠΈΡ… Π΄Π°Π½Π½Ρ‹Ρ… Π² нСэффСктивных ΠΈ Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ выполняСмых рСгулярных выраТСниях).

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru