Bon mes excuses pour court-circuiter le thread, mais c'est important: j'utilise rails 3.2.10
Je peux l'indiquer ici car tu viens de donner ta version de Rails publiquement: si ton site est déjà déployé, upgrade maintenant à 3.2.12 ou applique un work-around si ce n'est déjà fait, car ton appli est vulnérable à plusieurs failles vraiment critiques: - Remote Code Execution https://github.com/rubysec/ruby-advisory-db/blob/master/gems/actionpack/2013-0156.yml - Query Bypass https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activerecord/2013-0155.yml - attr_protected Bypass https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activerecord/2013-0276.yml - Remote Code Execution https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activerecord/2013-0277.yml http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/ http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/ Par ailleurs: abonnez-vous à "Ruby On Rails Security" pour être prévenu. https://groups.google.com/forum/?fromgroups#!forum/rubyonrails-security Ces failles sont disponibles depuis un moment dans les packages type Metasploit, alors ne laissez pas d'applis non mises à jour en production ou vous vous ferez owner. https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156 Thibaut -- http://www.logeek.fr -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected] --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse [email protected]. Pour plus d'options, visitez le site https://groups.google.com/groups/opt_out .
