阅读更多

1顶
0踩

编程语言

原创新闻 Rails连发5版本,修复SQL注入漏洞

2014-07-03 19:23 by 副主编 wangguo 评论(0) 有20416人浏览



Rails开发团队今天上午发布了3.2.19、4.0.7和4.1.3三个版本,这三个版本修复了CVE-2014-3482CVE-2014-3483两个SQL注入漏洞:
引用
PostgreSQL支持大量独特的数据类型,这些类型是其他数据库所不支持的,在3.x版本中,ActiveRecord的SQL引用代码中存在一个bug,允许攻击者使用特定值来注入任意SQL代码。


在这三个版本发布后,Rails开发团队又紧急发布了4.0.8和4.1.4版本,主要解决新发布的安全修复版本中的PostgreSQL Range功能回退的问题。该问题只影响4.x分支,3.x分支不受影响。

下载地址:https://github.com/rails/rails/releases

  • 大小: 12.7 KB
1
0
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • inject-some-sql:将SQL注入Ruby on Rails应用程序中很有趣!

    cd inject-some-sql/rails5在子目录中,安装依赖项并设置数据库: bundle installrake db:setup db:seed跑典型的Rails开始: rails s在浏览器中打开 。重置数据库使用SQL注入很容易使数据库混乱。 服务器确实会在...

  • sql_tracker:Rails SQL查询跟踪器

    Rails SQL查询跟踪器 sql_tracker通过订阅Rails的sql.active_record事件通知来跟踪SQL查询。 然后,它汇总并生成报告,以为您提供有关Rails应用程序中发生的所有SQL查询的见解。安装将此行添加到您的应用程序的...

  • pp_sql:Rails ActiveRecord SQL查询日志美化器

    您可以将此版本的~> 0.2与Ruby 2.2、2.3和/或Rails 4.0、4.1一起使用 用法 Post.first.to_sql 为了方便,干净地使用自定义字符串,您可以使用内置优化功能: using PpSql::ToSqlBeautifyRefinement 或者如果您需要...

  • rails_db:Rails数据库查看器和SQL查询运行器

    版本>2.0 100%适用于Ruby 2.3 +,Rails 5和Rails 6(2.3.1要求> = Rails 6,Rails 5使用2.2.1)。 至于其他版本的RoR,请使用1.6版的gem。 Travis CI上还运行着自动化测试。 支持:PostgreSQL,MySQL,SQLite。 不...

  • 风景:Rails的版本化数据库视图

    Scenic提供了版本控制视图的约定,该约定使您的迁移历史记录保持一致和可逆,并且避免了在迁移过程中重复SQL字符串。 另外,您可以在SQL文件中定义视图的结构,这意味着您可以在所选的编辑器中突出显示完整SQL语法...

  • Ruby On Rails代码执行漏洞(CVE-2020-8163)技术分析与研判防护

    RubyonRails5.0.1之前版本存在代码注入漏洞。远程攻击者可利用该漏洞发送特制请求执行任意代码。参考https//github.com/QianliZLP/CVE-2020-8163-即可。RubyonRails是Rails团队的一套基于Ruby语言的开源Web应用框架...

  • Rails SQL查询跟踪器-Ruby开发

    Rails SQL查询跟踪器sql_tracker通过订阅Rails的sql.active_record事件通知来跟踪SQL查询。 然后,它汇总并生成报告,以使您对Ra Rails SQL查询跟踪器中发生的所有SQL查询有更深入的了解,sql_tracker通过订阅Rails...

  • rails防SQL注入

    除非你做到网站完全静态化,否则,有用户输入的地方就有SQL注入的可能,我们应该注意到这些潜在的危险 在 防SQL注入方面,ruby和php相比要逊色一些,php提供了多个过滤函数,直接调用即可,但ruby需要自己去写...

  • 漏洞复现----14、Ruby On Rails 路径穿越漏洞(CVE-2018-3760)

    文章目录一、Ruby on Rails 简介二、漏洞简介1、Sprockets简介三、漏洞复现 一、Ruby on Rails 简介 Ruby on Rails(官方简称为 Rails,亦被简称为 RoR),是一个使用 Ruby 语言写的开源 Web 应用框架,它是严格...

  • rails常用数据库查询操作、方法浅析

    1、获取数据 获取第一条、最后一条记录 代码如下: Model.first Model.first(options) Model.find(:first, options) Model.last Model.last(options) Model.find(:last, options) 通过id获取记录 ...

  • 漏洞分析丨看我如何发现Github企业版程序SQL注入漏洞并获得5000美刀赏金

    文章有些长,认真阅读本文大概需要20分钟。简单看看,只需一分钟。 GitHub企业版软件是专供公司团体用来部署在内网进行开发服务的商业性应用程序。...通过下载其试用版本软件进行分析,我花了一周时间,发现了

  • activerecord-sqlserver-adapter:用于RailsSQL Server适配器

    -TravisCI -传送带-宝石版-社区关于适配器使用SQL Server 2012或更高版本的ActiveRecord v6.0SQL Server适配器。 对旧版本感兴趣吗? 我们遵循跟踪Rails的合理版本控制策略。 这意味着我们的适配器的5.2.x版本仅...

  • Rails:find_by_sql

    # Executes a custom SQL query against your database and returns all the results. The results will # be returned as an array with columns requested encapsulated as attributes of the model

  • 【漏洞复现】Ruby on Rails 路径穿越与任意文件读取漏洞(CVE-2019-5418)

    【漏洞复现】Ruby on Rails 路径穿越与任意文件读取漏洞(CVE-2019-5418)

  • RailsCasts中文版,#25 SQL Injection 谨防SQL注入

    接下来的几篇,我们会讨论一些关于安全的话题,以免你的站点频频遭受黑客的攻击。其中第一个基本安全原则就是永远不要信赖来自用户的输入。在Rails中来讲就是说,从页面参数中...所有安全问题中,SQL注入是最最臭名昭著

  • rodauth-rails:用于Rodauth身份验证框架的Rails集成

    rodauth-rails 为身份验证框架提供Rails集成。 目录 资源资源 有用的链接: 文章: 为什么选择Rodauth? 已经有几种流行的Rails身份验证解决方案(Devise,Sorcery,Clearance,Authlogic),那么为什么要选择...

  • GitLab基础:5种查询GitLab的版本的方法

    这篇文章介绍常用的查看GitLab的版本的方式。

  • 用rails console写sql语句

    用rails console写sql语句

  • zen-rails-security-checklist:Ruby on Rails应用程序的安全预防措施清单

    不包括早期版本中存在并在Rails 4中修复的漏洞。目录生成的。清单注射注入攻击排名第一。 不要使用标准的Ruby插值( #{foo} )将用户输入的字符串插入ActiveRecord或原始SQL查询中。 使用? 字符,命名的绑定变量或来...

  • rails中sql的增删改(数据迁移)

    rails中sql的增删改(数据迁移) https://guides.ruby-china.org/active_record_migrations.html Rails 迁移(migration)强大功能 Rails 支持迁移(migration)功能,允许我们使用 纯 Ruby 代码 定义数据...

Global site tag (gtag.js) - Google Analytics