Rails 3.2.7 发布,修复重要的DoS安全漏洞
程序员文章站
2024-03-17 10:36:16
...
Rails开发团队今天发布了Rails 3.2.7版本。
该版本包含了一个重要的安全漏洞修复程序,这是Action Pack中的一个拒绝服务漏洞。如果使用摘要式(digest)验证,则可能导致拒绝服务(DoS)攻击。
该漏洞影响所有使用with_http_digest控制器辅助方法的代码。例如:
漏洞编号:CVE-2012-3424
受影响版本:3.x
不受影响:2.3.5 - 2.3.14
修复版本:3.0.16、3.1.7、3.2.7
建议所有3.x的用户尽快升级至该版本。
此外,该版本还包含了一些改进和bug修复,详细信息参阅Github。
下载地址:https://github.com/rails/rails/tree/v3.2.7
该版本包含了一个重要的安全漏洞修复程序,这是Action Pack中的一个拒绝服务漏洞。如果使用摘要式(digest)验证,则可能导致拒绝服务(DoS)攻击。
该漏洞影响所有使用with_http_digest控制器辅助方法的代码。例如:
class MyController < ApplicationController
def index
authenticate_or_request_with_http_digest(REALM) do |uname|
# ...
end
end
end
漏洞编号:CVE-2012-3424
受影响版本:3.x
不受影响:2.3.5 - 2.3.14
修复版本:3.0.16、3.1.7、3.2.7
建议所有3.x的用户尽快升级至该版本。
此外,该版本还包含了一些改进和bug修复,详细信息参阅Github。
下载地址:https://github.com/rails/rails/tree/v3.2.7