Happy new year! This release of Brakeman contains several breaking changes and updates to default behavior. Changes since 6.2.2: Default to using Prism parser if available (disable with --no-prism) Disable following symbolic links by default (re-enable with --follow-symlinks) Remove updated entry in Brakeman ignore files (Toby Hsieh) Major changes to how rescanning works Fix hardcoded globally exc
Ruby on Rails SQL Injection (CVE-2012-2695) From: Aaron Patterson <tenderlove () ruby-lang org> Date: Tue, 12 Jun 2012 14:30:29 -0700 SQL Injection Vulnerability in Ruby on Rails There is a SQL injection vulnerability in Active Record, in ALL versions. This vulnerability has been assigned the CVE identifier CVE-2012-2695. Versions Affected: ALL versions Not affected: NONE Fixed Versions: 3.2.6, 3.
Posted by Shugo Maeda on 23 Aug 2008 Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられ たXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすること ができます。 Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。 影響 攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をREXMLに 解析させることにより、サービス不能(DoS)状態を引き起こすことができます。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE member [ <!ENTITY a "&b;
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く