Hello, Article Intéressant en tout cas pour comprendre le pbm. >
Tout à fait d'accord. Ils sont très utiles pour comprendre en local; si vous avez upgradé vos applications d'abord pour patcher, vous pouvez ensuite downgrader localement pour voir les POC fonctionner, c'est formateur. Vous pouvez aussi creuser metasploit (brew install metasploit) - voir ici pour la formation http://news.ycombinator.com/item?id=5035329 Thibaut -- http://www.logeek.fr > > -- > olivier > Sent with Sparrow <http://www.sparrowmailapp.com/?sig> > > On Wednesday 9 January 2013 at 17:57, lucas di cioccio wrote: > > > Ce bug est critique. > > Le problème de base vient du fait que YAML.load peut générer presque > n'importe quel objet Ruby (y compris des trucs qui ont la possibilité > d'exécuter des commandes shell, croyez moi ça existe :] ). Si on sait > quelle sera la prochaine méthode appelée (ou si on peut décider de quelle > méthode sera appelée), alors ça ouvre la porte au déclenchement du code > injecté (à moins d'avoir un $SAFE level limitant la casse au process Ruby). > > Plus de détails sur la chaîne de bugs qui arrive: > http://www.insinuator.net/2013/01/rails-yaml/ > > --Lucas > > > Le 9 janvier 2013 15:24, Thibaut Barrère <[email protected]> a > écrit : > > Par ailleurs j'ai vu pas mal insister sur le point suivant: ne chargez pas > de données YAML saisies par l'utilisateur (ça paraît évident après coup, > mais ça n'est pas une bonne idée du tout...). > > Voir http://news.ycombinator.com/item?id=5028270 pour plus de contexte! > > Thibaut > -- > http://www.logeek.fr > > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > [email protected] > Pour résilier votre abonnement envoyez un e-mail à l'adresse > [email protected] > > > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > [email protected] > Pour résilier votre abonnement envoyez un e-mail à l'adresse > [email protected] > > > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > [email protected] > Pour résilier votre abonnement envoyez un e-mail à l'adresse > [email protected] > -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected]
