Ce bug est critique. Le problème de base vient du fait que YAML.load peut générer presque n'importe quel objet Ruby (y compris des trucs qui ont la possibilité d'exécuter des commandes shell, croyez moi ça existe :] ). Si on sait quelle sera la prochaine méthode appelée (ou si on peut décider de quelle méthode sera appelée), alors ça ouvre la porte au déclenchement du code injecté (à moins d'avoir un $SAFE level limitant la casse au process Ruby).
Plus de détails sur la chaîne de bugs qui arrive: http://www.insinuator.net/2013/01/rails-yaml/ --Lucas Le 9 janvier 2013 15:24, Thibaut Barrère <[email protected]> a écrit : > Par ailleurs j'ai vu pas mal insister sur le point suivant: ne chargez pas > de données YAML saisies par l'utilisateur (ça paraît évident après coup, > mais ça n'est pas une bonne idée du tout...). > > Voir http://news.ycombinator.com/item?id=5028270 pour plus de contexte! > > Thibaut > -- > http://www.logeek.fr > > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > [email protected] > Pour résilier votre abonnement envoyez un e-mail à l'adresse > [email protected] > -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected]
