Alerte de sécurité sur Ruby On Rails

Le framework de développement Ruby a été corrigé à deux reprises ces derniers jours. En ligne de mire : combler deux failles critiques rendant les applications vulnérables.

A deux reprises ces derniers jours, le framework Ruby On Rails a été corrigé. Objectif : combler deux failles critiques dans l'infrastructure de développement Ruby.

La première se situe au niveau du patron de conception Active Record, et notamment son utilisation en lien avec l'analyse JSON pour gérer les liens avec la base de données. Elle peut permettre à un attaquant de lancer des requêtes SQL non-autorisées (via "Is Null"). La seconde faille peut permettre de contourner le système d'authentification pour lancer des attaques par injection SQL ou par déni de service.

Même s'il semble que ces failles n'aient pas encore été exploitées, le projet Ruby On Rails recommande de mettre à jour rapidement son infrastructure pour éviter tout problème.

  Télécharger les nouvelles versions de Ruby On Rails (3.0.19, 3.1.10, 3.2.11 et 2.3.15)





Faille / Framework