Rails 3.2.16 / 4.0.2 发布,请尽快升级

jopen 6年前

Rails团队今天发布了两个安全更新版本——Rails 3.2.16和4.0.2,修复了一些重要的安全漏洞。为了使升级更平滑,下面的链接中只提供了针对相应漏洞的补丁,你可以单独下载升级。

3.2.16、4.0.2版本中修复的安全漏洞如下:

  • CVE-2013-6417:查询生成器漏洞,影响全系版本。这个问题之前已经修复了(CVE-2013-0155),但未修复完整,一些第三方库可能会绕过保护。
  • CVE-2013-4491:反射型XSS漏洞,存在于Rails国际化组件中,影响3.0.6及之后的版本。
  • CVE-2013-6415:number_to_currency助手中的XSS漏洞,影响全系版本。
  • CVE-2013-6414:Action View组件中的DoS漏洞,影响3.0.0及之后的版本。

除此之外,4.0.2版本中还修复了如下安全漏洞:

  • CVE-2013-6416:simple_format助手中的XSS漏洞,影响4.0.0和4.0.1版本。

建议受影响的版本用户尽快升级,可点击上面的链接,在打开的页面中下载相应的补丁。

详细信息:Rails 3.2.16 / 4.0.2 release note

来自: http://www.iteye.com/news/28533