A noter que la correction de la dernière faille dans ActiveRecord provoque une grosse régression dans le parsing des paramètres de manière générale, même pour les applis n'utilisant pas ActiveRecord : https://github.com/rails/rails/issues/8831
<troll>Ce genre de régression ne peut que me conforter dans l'idée qu'ActiveRecord serait tellement mieux en gem indépendante du framework Rails...</troll> 2013/1/9 Nicolas Blanco <[email protected]>: > En tout cas ça fait du bon FUD sur les sites techos généralistes : > > http://arstechnica.com/security/2013/01/extremely-crtical-ruby-on-rails-bug-threatens-more-than-200000-sites/ > http://www.mac4ever.com/actu/76602_une-faille-tres-grave-sur-ruby-on-rails > > 2013/1/9 Tranquiliste <[email protected]>: >> Bonjour, >> >> J'imagine que tout le monde à vu les alertes sécurité sur rails >> https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion >> autour du parsing du xml et du yaml >> >> Est ce que quelqu'un peut m'expliquer en détail les impacts et le >> fonctionnement des workarounds proposés car je ne suis pas sur d'avoir >> compris car pour moi toutes les applis rails utilisent du yaml et je ne vois >> pas comment le désactiver. >> >> J'ai des applis en 3.2 et 2.3 pour lesquelles l'upgrade ne devrait pas poser >> trop de problème par contre j'en ai aussi une qui est en 2.1.2 (je sais ce >> n'est pas bien) pour cette dernière le workaround >> ActionController::Base.param_parsers.delete(Mime::XML) peut fonctionner? >> >> Nicolas >> >> -- >> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de >> Google Groups. >> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse >> [email protected] >> Pour résilier votre abonnement envoyez un e-mail à l'adresse >> [email protected] > > > > -- > Nicolas Blanco, Web developper > > http://www.nicolasblanco.fr > Jabber/GoogleTalk : [email protected] > Twitter : http://twitter.com/slainer68 > Github : http://github.com/slainer68 > Skype : slainer68 -- Nicolas Blanco, Web developper http://www.nicolasblanco.fr Jabber/GoogleTalk : [email protected] Twitter : http://twitter.com/slainer68 Github : http://github.com/slainer68 Skype : slainer68 -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected]
