Nouvelle version du même bug. Mais via JSON en entrée au lieu de XML. Mettez de nouveau à jour. Au moins vous êtes entraînés :).
--Lucas Le 10 janvier 2013 16:13, Nicolas Blanco <[email protected]> a écrit : > A noter que certaines personnes veulent reverter un des deux patches > qui introduit de grosses régressions : > https://github.com/rails/rails/pull/8870 > > 2013/1/10 Thibaut Barrère <[email protected]>: > > Hello, > > > >> Article Intéressant en tout cas pour comprendre le pbm. > > > > > > Tout à fait d'accord. Ils sont très utiles pour comprendre en local; si > vous > > avez upgradé vos applications d'abord pour patcher, vous pouvez ensuite > > downgrader localement pour voir les POC fonctionner, c'est formateur. > > > > Vous pouvez aussi creuser metasploit (brew install metasploit) - voir ici > > pour la formation http://news.ycombinator.com/item?id=5035329 > > > > Thibaut > > -- > > http://www.logeek.fr > > > >> > >> > >> -- > >> olivier > >> Sent with Sparrow > >> > >> On Wednesday 9 January 2013 at 17:57, lucas di cioccio wrote: > >> > >> > >> Ce bug est critique. > >> > >> Le problème de base vient du fait que YAML.load peut générer presque > >> n'importe quel objet Ruby (y compris des trucs qui ont la possibilité > >> d'exécuter des commandes shell, croyez moi ça existe :] ). Si on sait > quelle > >> sera la prochaine méthode appelée (ou si on peut décider de quelle > méthode > >> sera appelée), alors ça ouvre la porte au déclenchement du code injecté > (à > >> moins d'avoir un $SAFE level limitant la casse au process Ruby). > >> > >> Plus de détails sur la chaîne de bugs qui arrive: > >> http://www.insinuator.net/2013/01/rails-yaml/ > >> > >> --Lucas > >> > >> > >> Le 9 janvier 2013 15:24, Thibaut Barrère <[email protected]> a > >> écrit : > >> > >> Par ailleurs j'ai vu pas mal insister sur le point suivant: ne chargez > pas > >> de données YAML saisies par l'utilisateur (ça paraît évident après coup, > >> mais ça n'est pas une bonne idée du tout...). > >> > >> Voir http://news.ycombinator.com/item?id=5028270 pour plus de contexte! > >> > >> Thibaut > >> -- > >> http://www.logeek.fr > >> > >> -- > >> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" > de > >> Google Groups. > >> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > >> [email protected] > >> Pour résilier votre abonnement envoyez un e-mail à l'adresse > >> [email protected] > >> > >> > >> -- > >> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" > de > >> Google Groups. > >> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > >> [email protected] > >> Pour résilier votre abonnement envoyez un e-mail à l'adresse > >> [email protected] > >> > >> > >> -- > >> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" > de > >> Google Groups. > >> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > >> [email protected] > >> Pour résilier votre abonnement envoyez un e-mail à l'adresse > >> [email protected] > > > > > > -- > > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" > de > > Google Groups. > > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > > [email protected] > > Pour résilier votre abonnement envoyez un e-mail à l'adresse > > [email protected] > > > > -- > Nicolas Blanco, Web developper > > http://www.nicolasblanco.fr > Jabber/GoogleTalk : [email protected] > Twitter : http://twitter.com/slainer68 > Github : http://github.com/slainer68 > Skype : slainer68 > > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > [email protected] > Pour résilier votre abonnement envoyez un e-mail à l'adresse > [email protected] > -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected] --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe, envoyez un e-mail à l'adresse [email protected]. Pour plus d'options, visitez le site https://groups.google.com/groups/opt_out .
