Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранением критической уязвимости

Представлены корректирующие выпуски Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 в которых устранены две уязвимости:

  • Первая уязвимость (CVE-2013-0277) обусловлена недоработкой в коде сериализации данных в ActiveRecord, который позволяет при разборе сериализированных полей распаковать и обработать произвольный блок YAML. Как и в ситуации с ранее исправленными в этом году уязвимостями, передав специально оформленную последовательность YAML атакующий может инициировать выполнение объектов с Ruby-кодом.
  • Вторая уязвимость (CVE-2013-0276) связана ошибкой в реализации метода «attr_protected» в ActiveRecord, который не полностью ограничивает доступ к закрытым атрибутам, что позволяет атакующему изменить запрещённые для изменения параметры через отправку специально оформленного запроса. Проблема проявляется только при использовании в приложении метода «attr_protected».

Отдельно отмечается уязвимость (CVE-2013-0269) в JSON gem, позволяющая осуществить отказ в обслуживании или способствовать проведению целевых атак по подстановке SQL-запроса при обработке специально оформленного ввода.