En gros, pour le parameter parsing (requêtes http, pas la lecture de fichiers de conf), en XML et en YAML (qui n'est plus censé exister, la conversion depuis une chaine de caractères vers un objet ruby accepte des classes qui ne devraient pas être autorisés. De cette façon, du code peut être exécuté si, par exemple, des traitements sont effectués à la destruction de l'objet. J'ai pas eu le temps ee regarder ce que ça donnait pour une injection SQL. Ce type de failles est assez classique dans d'autres langages comme PHP ou Python. En gros, dès que des données doivent être désérialisées (converties d'une chaine vers des objets), il faut être sûr de la source, car cette action est dangereuse. Le 9 janv. 2013 13:37, "Tranquiliste" <[email protected]> a écrit :
> Bonjour, > > J'imagine que tout le monde à vu les alertes sécurité sur rails > https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussionautour > du parsing du xml et du yaml > > Est ce que quelqu'un peut m'expliquer en détail les impacts et le > fonctionnement des workarounds proposés car je ne suis pas sur d'avoir > compris car pour moi toutes les applis rails utilisent du yaml et je ne > vois pas comment le désactiver. > > J'ai des applis en 3.2 et 2.3 pour lesquelles l'upgrade ne devrait pas > poser trop de problème par contre j'en ai aussi une qui est en 2.1.2 (je > sais ce n'est pas bien) pour cette dernière le > workaround ActionController::Base.param_**parsers.delete(Mime::XML) peut > fonctionner? > > Nicolas > > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > [email protected] > Pour résilier votre abonnement envoyez un e-mail à l'adresse > [email protected] -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected]
