Les développeurs de Ruby on Rails mettent en garde les utilisateurs d'une vulnérabilité de type injection SQL qui affecte actuellement toutes les versions du framework web.
Les nouvelles versions de RoR (3.2.10, 3.1.9 et 3.0.18) sont maintenant disponibles et il est recommandé de faire immédiatement la mise à jour. Pour ceux qui ne peuvent pas faire la mis à jour, il existe des patchs disponibles pour les versions 3.2 et 3.1 ainsi que pour les plus vielles versions 3.0 et 2.3.
Le problème vient du fait qu'un utilisateur peut injecter du SQL arbitraire via les méthodes dynamic finders. Par exemple faire un appel du type :
post.find_by_id(params[:id])
rendrait votre application vulnérable à une attaque. Ce problème a été vu initialement sur le blog de Phenoelit vers fin Décembre où il a appliqué une technique pour extraire des informations d'identification des utilisateurs en contournant le framework d'authentification authlogic.
Jeu de briques
Snake
Pacman
Bubble