Ruby on Rails发现新漏洞,荷兰政府网站临时下线

jopen 10年前

  Ruby on Rails 框架发现两个新漏洞 CVE-2013-0156CVE-2013-0155,CVE-2013-0156 是高危漏洞,允许攻击者绕过认证系统,注入任何 SQL 注入代码和执行任意代码,或执行 DoS 攻击;CVE-2013-0155 则允许在使用 JSON 参数解释时改变部分 SQL 查询。

  开发团队已经发布了补丁 3.2.11、3.1.10、3.0.19 和 2.3.15,修复漏洞。Ruby on Rails 框架最近暴露出的 SQL 注入漏洞已经导致一些网站采取下线的极端应对措施,其中包括荷兰政府的公民数字身份网站 Digital Identity(已恢复上线)。

来自: Solidot