JeuWeb - Crée ton jeu par navigateur
Rail et Github : une faille de sécurité à connaître - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Rail et Github : une faille de sécurité à connaître (/showthread.php?tid=6369)

Pages : 1 2 3


Rail et Github : une faille de sécurité à connaître - Damocorp - 06-09-2012

Salut,

Voici l'article : http://www.zdnet.fr/blogs/developpeur-zone/github-hacke-l-industrie-du-logiciel-menacee-39769326.htm

J'ai des doutes que vous l'ayez raté, mais au cas ou Wink c'est bon a savoir !


RE: Rail et Github : une faille de sécurité à connaitre. - Sephi-Chan - 06-09-2012

Tu es dans la section Graphisme. Confusediffle:


Cette faille de GitHub est issu d'une négligence de la part des développeurs, ce n'est pas une faille de Rails.

Dans les modèles ActiveRecord de Rails, tu peux créer un objet à partir d'un hash d'attributs.
Tout est défini dans cette page de l'API : ActiveModel::MassAssignmentSecurity::ClassMethods.

Avec un modèle tel que :


class User < ActiveRecord::Base
end

Tu peux écrire :


attributes = { name: 'Jon Snow', admin: true }
User.create(attributes)

Le problème, c'est que le tableau d'attribut peut venir d'un formulaire, et donc être corrompu.

Pour te protéger, il faut interdir l'injection de certains attributs sensibles par ce moyen. Comme ceci :


class User < ActiveRecord::Base
attr_accessible :name
end

Ainsi, si on execute le même code que précédemment, une exception sera lancée : il est interdit d'injecter l'attribut admin. Les développeurs de GitHub avaient oublié ça.

Depuis, les développeurs de Rails ont interdit l'injection des attributs par défaut : il faut faire une liste blanche. C'est plus prudent et ça évitera ce genre d'accidents à l'avenir.


J'ignorais que tu t'intéressais à Rails.


RE: Rail et Github : une faille de sécurité à connaître - Ter Rowan - 06-09-2012

en tout cas, le petit Igor s'est fait connaitre sans faire de mal


RE: Rail et Github : une faille de sécurité à connaître - Sephi-Chan - 06-09-2012

Oui, il a posté sur le bug tracker de Rails. https://github.com/rails/rails/issues/5228
Puis plus bas dans le message, un mec le félicite d'être dans les médias (après la révélation de la faille).

C'est assez marrant à voir. ^^


RE: Rail et Github : une faille de sécurité à connaître - Plume - 06-09-2012

Ce truc est vieux de plusieurs mois. C'est d'ailleurs pour ça que dorénavant, depuis une certaine version de Rails, la liste blanche est nulle et vous êtes obligés de définir vos accesseurs.


RE: Rail et Github : une faille de sécurité à connaître - Damocorp - 07-09-2012

Citation :Tu es dans la section Graphisme.Confusediffle:
Ma version Linux m'as causé quelques heures de galères ( c'est toujours cool quand on apprends Confusediffle: ). Sauf qu'un mec sur irc m'as corrigé mon problème en 8 lettre et 1 commande. Et ce en moins de 10 sec de réflexion. Ca fou les boules -.-
De ce fait j'suis un peu à côté de mes pompes aujourd'hui. Ca m'as traumatisé.
Merci de l'avoir remis au bon endroit.

Citation :J'ignorais que tu t'intéressais à Rails.
Je compte pas faire que du php. C'est juste que j'ai pas le temps pour le moment de sortir de ma bulle Wink Et lire c'est toujours un bon début !

Citation :Ce truc est vieux de plusieurs mois.
Je sais mais j'ai pris pour habitude de partager tout ce qui touche à la sécurité.
Les gens dans ma situation ne sont pas toujours au courant de ce genre de chose. J'ai donc pris pour habitude de partager. Ceci augmente la propagation pour ceux qui comme moi vive de temps à autre dans leur grotte.
Tout en me disant que le jour ou cela m'arrivera, je serai heurrer de tomber ( quoique ca fait mal ^^ ) sur un post répété d'un autre gars qui me fera courrir dans mon code corriger un trou de sécurité.


Re: Rail et Github : une faille de sécurité à connaître - Plume - 07-09-2012

Ce que je voulais souligner, c'est l'obsolécence de cette information. Tu partages une information qui n'a aujourd'hui aucun fondement. Cette faille, indépendamment de qui en est responsable, n'existe plus depuis plusieurs mois.


RE: Rail et Github : une faille de sécurité à connaître - Ter Rowan - 07-09-2012

(07-09-2012, 08:46 AM)_who a écrit : Ce que je voulais souligner, c'est l'obsolécence de cette information. Tu partages une information qui n'a aujourd'hui aucun fondement. Cette faille, indépendamment de qui en est responsable, n'existe plus depuis plusieurs mois.

plop

est ce que ça veut dire que ceux qui avaient développé à l'époque de la faille ont vu corrigé leur système automatiquement ?


typiquement si c'était arrivé sur php, l'info m'aurait servi : je ne change pas de version php à chaque mise à jour.

et je tiens à préciser, je suis dans ma grotte comme dit damacorps, mes deux sources techniques principales sont jeuweb et google (mais google est plutôt passif pour m'avertir de trucs de ce genre :p )


RE: Rail et Github : une faille de sécurité à connaître - Sephi-Chan - 07-09-2012

Ceux qui n'ont pas mis à jours leur version de Rails n'ont pas bénéficié automatiquement de la nouvelle valeur par défaut de ce mécanisme (qui est d'interdire toute injection, puis de les autoriser explicitement comme je l'ai montré plus haut).

Et l'équipe de Rails a montré comment obtenir ce comportement, même sur d'anciennes versions.


Re: Rail et Github : une faille de sécurité à connaître - Plume - 07-09-2012

De toute façon, ceci serait la responsabilité du développeur de se tenir à jour. Sans compter que dès l'origine, ce n'est pas une faille.

Smile