Rails 3.2.10 Security Fix

Gerade eben gab es ein Patch-Release von Rails. Wichtig: Hierbei sollte jeder so schnell es geht updaten.

Das Update beseitigt eine Sicherheitslücke in ActiveRecord. Dadurch war es möglich, dass in den dynamic Filters von ActiveRecord SQL-Code eingeschleust werden konnte.

Ein Beispiel:

 

User.find_by_id(params[:id])

Dieser dynamische Filter liefert den ersten User mit der übergebenen ID zurück. Ebenso wie:

User.where(id: params[:id]).first

Mittels einem Hash kann als Parameter auch SQL Syntax mitgegeben werden, welche ausgeführt wird. Um dies zu umgehen, sollte schnellstmöglichst auf die aktuelle Rails Version upgedated werden. Sollte das nicht möglich sein, wurden dafür auch Patches bereitgestellt.

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 0 / 5. Anzahl Bewertungen: 0

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Es tut uns leid, dass der Beitrag für dich nicht hilfreich war!

Lasse uns diesen Beitrag verbessern!

Wie können wir diesen Beitrag verbessern?

Thomas Czernik

Bin ein bayerischer SEO und Web Analyst. ➤ Technical SEO ➤ Webanalyse ➤ Developer

Ein Gedanke zu „Rails 3.2.10 Security Fix“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mit der Nutzung dieses Formulars erklärst du dich mit der Speicherung und Verarbeitung deiner Daten (Datenschutzerklärung) durch diese Website einverstanden. *

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.