Rails 3.2.10 Security Fix

Gerade eben gab es ein Patch-Release von Rails. Wichtig: Hierbei sollte jeder so schnell es geht updaten.

Das Update beseitigt eine Sicherheitslücke in ActiveRecord. Dadurch war es möglich, dass in den dynamic Filters von ActiveRecord SQL-Code eingeschleust werden konnte.

Ein Beispiel:

 

User.find_by_id(params[:id])

Dieser dynamische Filter liefert den ersten User mit der übergebenen ID zurück. Ebenso wie:

User.where(id: params[:id]).first

Mittels einem Hash kann als Parameter auch SQL Syntax mitgegeben werden, welche ausgeführt wird. Um dies zu umgehen, sollte schnellstmöglichst auf die aktuelle Rails Version upgedated werden. Sollte das nicht möglich sein, wurden dafür auch Patches bereitgestellt.

Ein Gedanke zu “Rails 3.2.10 Security Fix

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>