Link http://www.iteye.com/news/26895
近日,Ruby on Rails 的 Active Record 模块被爆出存在一个 SQL 注入漏洞(CVE-2012-5664),所有版本均受到影响。
描述
鉴于 Active Record 中动态查找器从方法参数中提取选项的方式,导致方法参数可能会被错误地当成作用域来使用。攻击者可以通过发起特定的请求,利用作用域来注入任意 SQL。
受影响的代码会将用户提供的数据传递到动态查找器,例如:Post.find_by_id(params[:id])
可以通过将参数明确转换到预期的值来暂时缓解该问题,比如:将 Post.find_by_id(params[:id]) 更改为 Post.find_by_id(params[:id].to_s) 。但无法从根本上解决问题,建议所有 Rails 用户尽快升级至如下版本:
Rails 3.2.10
Rails 3.1.9
Rails 3.0.18
详细漏洞信息:Rails SQL injection vulnerability
Via Google Groups
感谢 wangguo 投递这篇资讯
声明:本文系 ITeye 网站发布的原创资讯,严禁任何网站转载本文,否则必将追究法律责任!
已有 0 人发表留言,猛击->>这里<<-参与讨论
ITeye 推荐
—软件人才免语言低担保 赴美带薪读研!—