Rails 3.2.12/3.1.11/2.3.17安全修复版本发布
程序员文章站
2022-07-12 21:41:21
...
Rails开发团队近日发布了三个安全更新版本,分别为3.2.12、3.1.11和2.3.17。这些版本均修复了一些重要的安全漏洞,漏洞说明如下:
1. CVE-2013-0276
该漏洞存在于ActiveRecord的attr_protected方法中,该方法允许开发人员指定一个不允许分配模型属性的用户黑名单。攻击者可以利用存在的漏洞绕过这种保护。开发者可以考虑将attr_protected切换到白名单方法attr_accessible,该方法不易受到攻击。
2. CVE-2013-0277
该漏洞存在于Rails 2.3和3.0的序列化属性处理代码中,攻击者可利用该漏洞发起拒绝服务攻击(DoS)或远程执行代码。
建议Rails用户立即更新至最新的版本。此外,Rails官方已经停止维护Rails 3.0.x分支,建议该分支用户也尽快升级。
Rails团队还发布了新的JSON gem,同样包含一个重要的安全修复(CVE-2013-0269)。
详细信息:
Via Rails
1. CVE-2013-0276
该漏洞存在于ActiveRecord的attr_protected方法中,该方法允许开发人员指定一个不允许分配模型属性的用户黑名单。攻击者可以利用存在的漏洞绕过这种保护。开发者可以考虑将attr_protected切换到白名单方法attr_accessible,该方法不易受到攻击。
2. CVE-2013-0277
该漏洞存在于Rails 2.3和3.0的序列化属性处理代码中,攻击者可利用该漏洞发起拒绝服务攻击(DoS)或远程执行代码。
建议Rails用户立即更新至最新的版本。此外,Rails官方已经停止维护Rails 3.0.x分支,建议该分支用户也尽快升级。
Rails团队还发布了新的JSON gem,同样包含一个重要的安全修复(CVE-2013-0269)。
详细信息:
Via Rails