В Rails устранена уязвимость, позволяющая осуществить подстановку SQL-кода
Вышла порция корректирующих обновлений web-фреймворка Rails 3.2.19, 4.0.7 и 4.1.3, в которых устранены опасные уязвимости (CVE-2014–3482, CVE-2014–3483), позволяющие осуществить подстановку SQL-запроса через передачу web-приложению специальной оформленных входных значений. Проблема проявляется только при использовании Active Record-драйвера для СУБД PostgreSQL и использовании специфичных для PostgreSQL типов bitstring или range, например, при употреблении в коде обработчиков вида Model.where (bitstring: params[: some_value]) или Model.where (range: params[: from]…params[: to]). Следом почти сразу вышли обновления Rails 4.0.8 и 4.1.4, в которых устранены внесённые в 4.0.7 и 4.1.3 регрессивные изменения.
© OpenNet
