Voker57
29.01.2013 15:13 nbl-desktop
Спустя всего две недели с момента прошлой опасной уязвимости представлено корректирующее обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением очередной критической уязвимости (CVE-2013-0333), которая может привести к выполнению кода на сервере, обходу системы аутентификации и выполнению SQL-запроса. Проблема найдена в коде парсера JSON и может быть эксплуатирована при обработке специально сформированного JSON-блока c YAML-вставками. Для эксплуатации достаточно отправить любому приложению специальный HTTP POST-запрос с типом "text/json".
Recommended by:
@gisty,
@Crazy_Owl
2 comments
recommend
bookmark
subscribe
рельсы стремительно занимают нишу PHP — "ГЛОБАЛЬНО & НАДЕЖНО"
пхп хоть попрощ будет, а тут из коробки вон какая-то непонятная ебанина, JSON, YAML с кодом, ассеты и корованы, в таких условиях конечно уязвимостей не оберешься