欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  资讯频道

Rails 3.2.12/3.1.11/2.3.17安全修复版本发布

程序员文章站 2022-07-12 21:41:21
...
Rails开发团队近日发布了三个安全更新版本,分别为3.2.12、3.1.11和2.3.17。这些版本均修复了一些重要的安全漏洞,漏洞说明如下:

1.  CVE-2013-0276

该漏洞存在于ActiveRecord的attr_protected方法中,该方法允许开发人员指定一个不允许分配模型属性的用户黑名单。攻击者可以利用存在的漏洞绕过这种保护。开发者可以考虑将attr_protected切换到白名单方法attr_accessible,该方法不易受到攻击。

2.  CVE-2013-0277

该漏洞存在于Rails 2.3和3.0的序列化属性处理代码中,攻击者可利用该漏洞发起拒绝服务攻击(DoS)或远程执行代码。

建议Rails用户立即更新至最新的版本。此外,Rails官方已经停止维护Rails 3.0.x分支,建议该分支用户也尽快升级。

Rails团队还发布了新的JSON gem,同样包含一个重要的安全修复CVE-2013-0269)。

详细信息:

Via Rails