Most esett be a hír (thx @domi007), hogy illetéktelenek fértek hozzá a népszerű portálmotor, a Drupal infrastruktúrájához. A támadók több mint valószínű, hogy az nginx webszerver legutóbbi stack túlcsordulást okozó hibáját kihasználva jutottak be az association.drupal.org-ra…
Drupal.org breach + Rails botnet
2013.05.29. 23:08 | buherator | 2 komment
Címkék: incidens ruby on rails ruby botnet nginx drupal.org
A nap hibája: Rails+ MySQL
2013.02.06. 20:07 | buherator | 1 komment
Úgy tűnik joernchen nem hagyott fel a Rails túrásával, a munka pedig meghozta gyümölcsét, már vagy tíz perce vigyorgok:
A történet ott indul, hogy a MySQL annyira típusérzéketlen, hogy a 0="valami" (integer vs. varchar) számára egy igaz kifejezés. Ez persze már önmagában…
Címkék: bug ruby on rails mysql ruby joernchen
Újabb Rails hiba (2.3.x, 3.0.x)
2013.01.28. 23:06 | buherator | 3 komment
Úgy tűnik, az idei év slágere a Java mellet a Ruby (on Rails) lesz: a bugvadászok újabb, szerializációval kapcoslatos problémát találtak a RoR 2.3.x és 3.0.x változatainak egyik JSON parserében. A probléma oka - hasonlóan az előző sérülékenységhez - az, hogy a JSON formátumú…
Címkék: ruby on rails ruby json yaml
Hírek - 2012/46. hét
2012.11.19. 09:58 | buherator | Szólj hozzá!
McAfee
Az antívirus piac egyik legnagyobb neve, John McAfee az utóbbi időben nem éppen a kiberbiztonsággal kapcsolatos tevékenységéért kerül be a hírekbe. Az üzletember most valószínűleg átlépett egy határt: a gyanú szerint McAfee a házilag kotyvasztott MDPV nevű kábítószer…
Címkék: hírek patch bulvár bukta gyilkosság vmware ruby cosmo mcafee dos ddos google chrome john mcafee ugnazi
Szabad rablás a GitHubon
2012.03.05. 01:17 | buherator | 2 komment
Egor Homakov egy olyan hibát demózott, melynek kihasználásával tetszőleges GitHub felhasználó tárolóihoz korlátlen hozzáférést lehetett szerezni. A lépésre azután került sor, hogy Homakov sikertelenül próbálta meggyőzni a GitHubon is használt Ruby on Rails keretrendszer…
Címkék: incidens ruby on rails ruby github mass assignment
Parancsvégrehajtás a Ruby mail gem-en keresztül
2011.01.27. 23:10 | buherator | Szólj hozzá!
A Ruby kedvelt levelező gem-jének 2.2.15 kritikus biztonsági hibát javít, amely lehetővé teszi, hogy speciális e-mail paramétereket megadva parancsokat hajassunk végre az alkalmazást futtató számítógépen. A kiadott patch-ből jól látszik, hogy sendmail használata esetén a…
Címkék: patch bug sendmail ruby on rails ruby
Ruby on Rails biztonsági kalauz
2008.11.04. 20:59 | buherator | Szólj hozzá!
Útmutató jelent meg a Ruby on Rails alkalmazások biztonságáról. Az e-book illetve HTML formátumban is elérhető, ingyenes kalauz felkészít többek között a különböző beszúrásos támadások kivédésére, bemutatja a biztonságos munkamenet kezelést, eligazít az adminisztrációs…
Címkék: programozás ruby on rails
Kritikus Ruby hibák
2008.06.20. 18:51 | buherator | Szólj hozzá!
Szolgáltatásmegtagadásra illetve távoli kódfuttatásra alkalmas hibákat találtak a Ruby 1.8.4, 1.8.5-p230, 1.8.6-p229, 1.8.7-p21 és régebbi verzióiban. További információk nem kerültek napvilágra, de a szükséges javítások már letölthetők, így a hibák megtalálása nem lehet…
Címkék: bug ruby
Rosszul implementált Ruby on Rails függvények
2007.08.17. 14:17 | buherator | Szólj hozzá!
Az egyre népszerűbb Ruby on Rails több szövegmanipuláló függvénye alkalmatlannak bizonyult a bemenetek megfelelő szűrésére. Ezek közül a legfontosabbak a strip_tags, strip_links és sanitize függvények, melyek gyakran szolgálják a felhasználói bemenetek szűrését. A…
