Les développeurs du framework web Ruby On Rails ont corrigé une vulnérabilité critique qui permettait à des pirates d'exécuter des commandes SQL sur un serveur de base de données.
La vulnérabilité existe dans les versions 3.0 et plus de Active Record, la couche de base de données de Rails, et qui est exposée lors de l'utilisation des paramètres de requêtes imbriquées. Le code qui passe directement des paramètres à une clause where en est affectée par exemple.
Une autre faille avec la génération de requêtes a également été trouvée et affectent toutes les versions de Ruby On Rails. Rails 3.2.4 est disponible et corrige ces failles ainsi que d'autres bugs. Mais avec les problèmes rencontrés lors de la mise en place de cette release, les développeurs ont mis en ligne une version 3.2.5. Il y a aussi des mises à jour de Rails 3.1.5 et Rails 3.0.13 qui corrigent ces failles de sécurité.
MISES A JOUR DE L'ARTICLE |
