Des chercheurs berlinois ont déverrouillé le Galaxy S5 de Samsung à l'aide du moulage d'une empreinte digitale relevée sur l'écran d'un smartphone.

L'Image du jour

Des chercheurs berlinois ont déverrouillé le Galaxy S5 de Samsung à l'aide du moulage d'une empreinte digitale relevée sur l'écran d'un smartphone.

Big data : zoom sur les usages et les applications

Dernier Dossier

Big data : zoom sur les usages et les applications

2014 devrait être une année de transition pour le big data en France. En effet, les projets se multiplient et commencent timidement à se professionnal...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

PARTNER ZONE
Nous vous proposons des espaces d'information et de services dédiés à des acteurs du marché IT. Vous y trouverez de nombreux livres blancs, vidéos, articles...

Partner Desk

Nous vous proposons, dans ces espaces, les dernières nouveautés d'une marque IT.

Webcast

FERMER

OFFRE D'EMPLOI

Découvrez chaque jour des offres d'emploi 100% IT et profitez de toute la puissance de LMI pour promouvoir votre carrière.

Accéder au site 

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 
FERMER
0
Réagissez Imprimer Envoyer

2 mises à jour urgentes pour Ruby on Rails

Le bulletin publié le 8 janvier sur le site weblog.rubyonrails.org

Le bulletin publié le 8 janvier sur le site weblog.rubyonrails.org

C'est la deuxième fois depuis le début de l'année que des mises à jour urgentes corrigent des failles critiques dans le framework d'applications web Ruby on Rails. A installer immédiatement.

Les utilisateurs du framework Open Source Ruby on Rails doivent le mettre à jour sans délai après la découverte de failles critiques. C'est la deuxième fois ce mois-ci que Rails est corrigé en raison de vulnérabilités sérieuses. L'environnement de développement d'applications web est très utilisé sur Internet, notamment par des sites web comme Scribd (partage de documents), Hulu (vidéo à la demande) et Groupon (site d'achats groupés). 

L'une des failles, numérotée CVE-2013-0156, se situe dans le code d'analyse des paramètres de Ruby on Rails. Elle autoriserait les hackers à contourner les systèmes d'authentification pour mener une attaque par injection de code SQL ou par déni de service contre des applications utilisant Rails, selon le bulletin publié hier. Une attaque par injection de code SQL met en oeuvre l'envoi de commandes via un formulaire web vers la base de données d'un site web qui, si elle n'est pas correctement protégée, peut renvoyer des données sensibles.

Des mises à jour à installer immédiatement

L'autre faille, CVE-2013-0155, permettrait à un attaquant d'envoyer vers la base des requêtes avec la commande « IS NULL » en raison de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Il s'agit d'une variante des failles CVE-2012-2660 et CVE-2012-2694. « Même si vous avez procédé à une mise à jour pour corriger ces problèmes, vous devez recommencez », précise la note d'avertissement.

Quatre mises à jour de Rails ont été livrées ce mardi : 3.211, 3.1.10, 3.0.19 et 2.3.15. « Elles comportent deux correctifs de sécurité tout à fait critiques à installer immédiatement ». Déjà, le 2 janvier, des versions 3.2.10, 3.1.9, et 3.0.18 avaient été publiées pour corriger la faille numérotée. Il s'agissait là aussi d'une injection de code SQL.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité