Rails 安全漏洞不断,一月修补三次

jopen 11年前

Ruby on Rails 框架开发团队本周一发布了 3.0.20 和 2.3.16 两个版本,主要修复了一个关键的远程代码执行漏洞。

  这是本月内 Rails 的第 3 次安全升级,Rails 开发团队在博客中称该安全漏洞“极度危急”,建议 3.0.x 和 2.3.x 分支上的所有用户立即更新。较新的 3.1.x 和 3.2.x 中分支不受此漏洞的影响。

  根据相应的安全通告显示,新版本修复了 Rails JSON 代码中的一个漏洞,该漏洞允许攻击者绕过身份验证系统,在应用程序的数据库中注入任意 SQL 代码,并允许在应用程序中注入恶意代码并发起 DoS(拒绝服务)攻击。

  Rails 开发团队指出,尽管此次针对 Rails 3.0.x 分支发布了更新,但要注意,官方已经停止了针对该分支的支持。目前官方维护支持的分支只有 2.3.x、3.1.x 和 3.2.x 三个。建议不受支持的分支用户尽快升级至这些版本。

  需要注意的是,此次修复的漏洞标识为 CVE-2013-0333,不同于 1 月 10 日修复的 CVE-2013-0156 漏洞,两个修补程序都需要安装。

  Via rubyonrails

来自: www.iteye.com