Voyages-SNCF.com a dévoilé sa première app pour les Google Glass.

L'Image du jour

Voyages-SNCF.com a dévoilé sa première app pour les Google Glass.

Le cloud tient-il toutes ses promesses ?

Dernier Dossier

Le cloud tient-il toutes ses promesses ?

A l'occasion de sa conférence annuelle Amazon Web Services Summit 2014 à Paris, le géant du cloud avait confirmé que les entreprises françaises, princ...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

2 mises à jour urgentes pour Ruby on Rails

Le bulletin publié le 8 janvier sur le site weblog.rubyonrails.org

Le bulletin publié le 8 janvier sur le site weblog.rubyonrails.org

C'est la deuxième fois depuis le début de l'année que des mises à jour urgentes corrigent des failles critiques dans le framework d'applications web Ruby on Rails. A installer immédiatement.

Les utilisateurs du framework Open Source Ruby on Rails doivent le mettre à jour sans délai après la découverte de failles critiques. C'est la deuxième fois ce mois-ci que Rails est corrigé en raison de vulnérabilités sérieuses. L'environnement de développement d'applications web est très utilisé sur Internet, notamment par des sites web comme Scribd (partage de documents), Hulu (vidéo à la demande) et Groupon (site d'achats groupés). 

L'une des failles, numérotée CVE-2013-0156, se situe dans le code d'analyse des paramètres de Ruby on Rails. Elle autoriserait les hackers à contourner les systèmes d'authentification pour mener une attaque par injection de code SQL ou par déni de service contre des applications utilisant Rails, selon le bulletin publié hier. Une attaque par injection de code SQL met en oeuvre l'envoi de commandes via un formulaire web vers la base de données d'un site web qui, si elle n'est pas correctement protégée, peut renvoyer des données sensibles.

Des mises à jour à installer immédiatement

L'autre faille, CVE-2013-0155, permettrait à un attaquant d'envoyer vers la base des requêtes avec la commande « IS NULL » en raison de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Il s'agit d'une variante des failles CVE-2012-2660 et CVE-2012-2694. « Même si vous avez procédé à une mise à jour pour corriger ces problèmes, vous devez recommencez », précise la note d'avertissement.

Quatre mises à jour de Rails ont été livrées ce mardi : 3.211, 3.1.10, 3.0.19 et 2.3.15. « Elles comportent deux correctifs de sécurité tout à fait critiques à installer immédiatement ». Déjà, le 2 janvier, des versions 3.2.10, 3.1.9, et 3.0.18 avaient été publiées pour corriger la faille numérotée. Il s'agissait là aussi d'une injection de code SQL.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité