GLSA 201401-22: Active Record: SQL injection

Опасность:низкая
Заголовок:Active Record: SQL injection
Дата:21.01.2014
Ошибки: #449826
ID:201401-22

Сводка

A vulnerability in Active Record could allow a remote attacker to inject SQL commands.

Назначение

Active Record is a Ruby gem that allows database entries to be manipulated as objects.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
dev-ruby/activerecord < 2.3.14-r1 >= 2.3.14-r1 All supported architectures

Описание

An Active Record method parameter can mistakenly be used as a scope.

Воздействие

A remote attacker could use specially crafted input to execute arbitrary SQL statements.

Обход

The vulnerability may be mitigated by converting the input to an expected value. This is accomplished by changing instances of ‘Post.find_by_id(params[:id])’ in code using Active Record to ‘Post.find_by_id(params[:id].to_s)’

Решение

All Active Record users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=dev-ruby/activerecord-2.3.14-r1"
    

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201401-22.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!