תוכנת Ruby on Rails (תשתית לכתיבת אפליקציות ברשת) מקבלת תיקונים כנגד פגיעויות של SQL

שתי נקודות תורפה השפיעו על יישומי Rails שמשתמשות ב- PostgreSQL כמערכת מסד הנתונים.
שתי פגיעויות אלו של הזרקת SQL
(שיטה לניצול פרצת אבטחה בתוכנית מחשב בעזרת פניה למסד נתונים)
 שתי נקודות תורפה השפיעו על יישומי Rails שמשתמשות ב- PostgreSQL כמערכת מסד הנתונים.
שתי פגיעויות אלו של הזרקת SQL
(שיטה לניצול פרצת אבטחה בתוכנית מחשב בעזרת פניה למסד נתונים)
שתי נקודות בעיתיות אלו תוקנו באמצעות הקוד הפתוח Ruby on Rails, שהינו קוד שמשמש בעיקר לפיתוח אתרים בקוד פתוח.
מפתחי ריילס שיחררו גרסאות 3.2.19, 4.0.7 ו- 4.1.3 ביום רביעי, וממליצים למשתמשים לשדרג בהקדם האפשרי.
כמה שעות לאחר מכן הם שחררו את גרסאות 4.0.8 ו- 4.1.4 כדי לתקן רגרסיה הנגרמת על ידי עידכוני 4.0.7 ו- 4.1.3
אחת משתי נקודות התורפה של הזרקת SQL משפיעה על יישומים שרצים על Rails 2.0.0
ו- 3.2.18 שגם משתמשת במערכת מסד הנתונים PostgreSQL וסוגי שאילתה מסוימת.
הפגיעות השניה משפיעה על יישומים הרצים על Rails 4.0.0 ל- 4.1.2 בעת שימוש PostgreSQL ושאילתות בעלות טווחים מסויימים
למרות ההשפעה על גרסאות שונות, שני הפגמים קשורים, והם מאפשרים להאקרים להזריק קוד SQL שרירותי לשאילתות בשימוש בערכים שנוצרו במיוחד.
"ניתן לעקוף בעיה זו רק בלא לאפשר למשתמש להשתמש בשאילתות עם הסוגים המשפיעים על נתונים," מפתחי ריילס אמרו בהתייעצות ביטחונית.
"בהתחשב בקשיים של פעילות זו, השדרוג מומלץ בחום."
למקרים בהם שדרוג גרסה מיידי אינו אפשרי, המפתחים גם שוחררו טלאי קוד שניתן ליישם באופן ידני.
Ruby on Rails צברה פופולריות רבה בקרב מפתחים בשנים האחרונות, והיא כבר בשימוש על ידי אתרים גדולים כולל Hulu, Scribd, Kickstarter וGitHub. זה זיכה את הכללת המסגרת לחסות פייסבוק ומיקרוסופט.

מאמר מקור:
http://www.itworld.com/security/425785/ruby-rails-gets-patches-sql-injection-vulnerabilities

דילוג לתוכן