Ruby on Rails phát hành bản vá các lỗ hổng có thể dẫn tới SQL injection.
Hai lỗ hổng có thể gây ra SQL injection đã được vá trong Ruby on Rails, một mã nguồn tạo web mở được dùng bởi một số trang web lớn.
Các lập trình viên Rails đã phát hành framework phiên bản 3.2.19, 4.0.7 and 4.1.3 vào thứ 4 vừa rồi với lời khuyên: các lập trình viên nên nâng cấp lên phiên bản mới sớm nhất có thể. Một vài tiếng sau họ đã cho ra phiên bản 4.0.8 and 4.1.4 để sửa lỗi hồi quy (regression) do phiên bản nâng cấp 4.0.7 and 4.1.3 tạo ra.
Lỗ hổng đầu tiên liên quan đến quá trình chạy phần mềm trên Rails 2.0.0 đến 3.2.18 và việc dùng hệ thống cơ sở dữ liệu PostgreSQL và truy vấn các kiểu đơn vị dữ liệu chuỗi. Lỗ hổng thứ hai liên quan đến quá trình chạy phần mềm trên Rails 4.0.0 đến 4.1.2 khi dùng PostgreSQL và truy vấn dữ liệu khoảng
Hai lỗi này ảnh hưởng các bản Rails khác nhau, nhưng lại liên quan đến nhau và cho phép những kẻ tấn công đưa mã SQL vào các câu lệnh truy vấn bằng cách sử dụng các giá trị đặc biệt.
“Cách duy nhất để sửa lỗi này là không cho phép người dùng sử dụng các giá trị gây ảnh hưởng tới kiểu dữ liệu trong các câu lệnh truy vấn” lập trình viên Rails nói “Rất khó để có thể đảm bảo được việc này, nên tốt nhất các bạn nên nâng cấp phần mềm”
Trong trường hợp không có bản nâng cấp mới nhất, các lập trình viên Rails đã phát hành các bản vá để giúp các lập trình viên khác có thể tự nâng cấp lên.
Ruby on Rails đang rất được ưa chuộng bởi các lập trình viên và đã được áp dụng cho một số trang web lớn như Hulu, Scribd, Kickstarter và GitHub. Điều này đã đưa Ruby on Rails đến với Internet Bug Bounty của Facebook và Microsoft và đã trở thành “Điều thiết yếu trong việc phát triển Internet”
Dịch từ ComputerWorld
Bình luận