Rails 安全漏洞不斷,一月修補三次

jopen 11年前發布 | 5K 次閱讀 Rails

Ruby on Rails 框架開發團隊本周一發布了 3.0.20 和 2.3.16 兩個版本,主要修復了一個關鍵的遠程代碼執行漏洞。

  這是本月內 Rails 的第 3 次安全升級,Rails 開發團隊在博客中稱該安全漏洞“極度危急”,建議 3.0.x 和 2.3.x 分支上的所有用戶立即更新。較新的 3.1.x 和 3.2.x 中分支不受此漏洞的影響。

  根據相應的安全通告顯示,新版本修復了 Rails JSON 代碼中的一個漏洞,該漏洞允許攻擊者繞過身份驗證系統,在應用程序的數據庫中注入任意 SQL 代碼,并允許在應用程序中注入惡意代碼并發起 DoS(拒絕服務)攻擊。

  Rails 開發團隊指出,盡管此次針對 Rails 3.0.x 分支發布了更新,但要注意,官方已經停止了針對該分支的支持。目前官方維護支持的分支只有 2.3.x、3.1.x 和 3.2.x 三個。建議不受支持的分支用戶盡快升級至這些版本。

  需要注意的是,此次修復的漏洞標識為 CVE-2013-0333,不同于 1 月 10 日修復的 CVE-2013-0156 漏洞,兩個修補程序都需要安裝。

  Via rubyonrails

來自: www.iteye.com
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/1df2fdb