Rails 3.2.10 Security Fix

Gerade eben gab es ein Patch-Release von Rails. Wichtig: Hierbei sollte jeder so schnell es geht updaten.

Das Update beseitigt eine Sicherheitslücke in ActiveRecord. Dadurch war es möglich, dass in den dynamic Filters von ActiveRecord SQL-Code eingeschleust werden konnte.

Ein Beispiel:

 

User.find_by_id(params[:id])

Dieser dynamische Filter liefert den ersten User mit der übergebenen ID zurück. Ebenso wie:

User.where(id: params[:id]).first

Mittels einem Hash kann als Parameter auch SQL Syntax mitgegeben werden, welche ausgeführt wird. Um dies zu umgehen, sollte schnellstmöglichst auf die aktuelle Rails Version upgedated werden. Sollte das nicht möglich sein, wurden dafür auch Patches bereitgestellt.

Ein Gedanke zu “Rails 3.2.10 Security Fix

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *