merci bcp. je vais le faire de suite. Mais dans tous les cas, pour l'instant ce n'est pas en ligne.
Le jeudi 7 mars 2013 15:43:52 UTC+1, Thibaut Barrère a écrit : > > Bon mes excuses pour court-circuiter le thread, mais c'est important: > > j'utilise rails 3.2.10 > > > Je peux l'indiquer ici car tu viens de donner ta version de Rails > publiquement: si ton site est déjà déployé, upgrade maintenant à 3.2.12 ou > applique un work-around si ce n'est déjà fait, car ton appli est vulnérable > à plusieurs failles vraiment critiques: > > - Remote Code Execution > https://github.com/rubysec/ruby-advisory-db/blob/master/gems/actionpack/2013-0156.yml > - Query Bypass > https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activerecord/2013-0155.yml > - attr_protected Bypass > https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activerecord/2013-0276.yml > - Remote Code Execution > https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activerecord/2013-0277.yml > > > http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/ > > http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/ > > Par ailleurs: abonnez-vous à "Ruby On Rails Security" pour être prévenu. > > https://groups.google.com/forum/?fromgroups#!forum/rubyonrails-security > > Ces failles sont disponibles depuis un moment dans les packages type > Metasploit, alors ne laissez pas d'applis non mises à jour en production ou > vous vous ferez owner. > > > https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156 > > Thibaut > -- > http://www.logeek.fr > -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected] --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse [email protected]. Pour plus d'options, visitez le site https://groups.google.com/groups/opt_out .
