A3a Jan 18 2017 at 09:55

SQL инъекция в GitHub Enterprise

7 min

14K

Information Security*Git*Reverse engineering*

Translation

+49

Comments 6

Envek Jan 18 2017 at 11:42

Ох, не боги горшки обжигают… Так проколоться и не проверить входные данные перед тем как сформировать из них просто кусочек SQL-я, а ведь даже в примерах в документации Rails для начинающих Rails Guides видно, что это просто фрагмент SQL: http://guides.rubyonrails.org/active_record_querying.html#ordering

Dreyk Jan 18 2017 at 13:36

2017
Rails version 3.2.22.4
печаль =(

если что, то рельсы 3-й версии уже не получают security patches даже для severe security issues

Tonkonozhenko Jan 18 2017 at 16:23

Насколько я знаю, они не на ванильных рельсах, у них своя сборка.

Dreyk Jan 18 2017 at 17:18

это конечно объясняет, почему они до сих пор на трешке, но лучше от этого не становится

Envek Jan 20 2017 at 10:04

За всё время написали столько кода и сделали настолько большие приложения, что некоторые до сих пор с 2.3 обновиться не могут. Специально для них даже есть платная Rails LTS, которая получает патчи. И, видимо, есть немало компаний, которые считают, что платить за поддержку старых версий рельсы выгоднее, чем обновляться.

Dreyk Jan 20 2017 at 12:40

прикольно, не знал про LTS. ну я читал где-то блог кого-то кто в гитхабе работает, там он пишет, что собираются они перебираться на ruby 2.3 и рельсы тоже подтягивать

Show the best of all time