Ruby on Rails近日爆出了一個(gè)關(guān)鍵的漏洞，該漏洞允許攻擊者在數(shù)據(jù)庫(kù)服務(wù)器上執(zhí)行SQL命令，比如，攻擊者可以發(fā)起SQL注入攻擊來(lái)讀取未經(jīng)授權(quán)的機(jī)密信息。目前該漏洞已修復(fù)，可通過(guò)文章最后的鏈接下載修復(fù)版本。
這是由于ActiveRecord處理嵌套查詢參數(shù)的方式所致，攻擊者可以使用特定的請(qǐng)求，向應(yīng)用程序的SQL查詢中注入某些形式的SQL語(yǔ)句。

比如，受影響的代碼可以直接傳遞請(qǐng)求參數(shù)到ActiveRecord類中的where方法，如下：

    Post.where(:id => params[:id]).all 

攻擊者可以發(fā)起一個(gè)請(qǐng)求，導(dǎo)致params[:id]返回一個(gè)特定的哈希值，從而使WHERE從句可以查詢?nèi)我鈹?shù)據(jù)表。

受影響的版本：3.0.0及之后的所有版本

未受影響的版本：2.3.14

修復(fù)版本下載：

• Rails 3.2.5
• Rails 3.1.5
• Rails 3.0.13