Немного времени прошло с публикации критической уязвимости в RoR, связанной с использованием YAML вставок в XML POST запросах. Сегодня опубликована аналогичная уязвимость, на этот раз в JSON POST запросах.

К сожалению, это означает, что мы не можем отфильтровать запросы так, чтобы не сломать работу проектов — JSON, в отличие от XML, используется в вебе очень широко.

Если ваш проект использует RoR версий 2.3.15, 3.0.19 или младше, ваш проект находится под угрозой, и вам незамедлительно необходимо обновиться. К счастью, обновления уже доступны.

Для обновления Rails ветки 2.3 вам необходимо отредактировать файл config/environment.rb, заменив строку:

RAILS_GEM_VERSION = '2.3.16' unless defined? RAILS_GEM_VERSION

Для обновления Rails ветки 3.0 пропишите нужную версию Rails в ваш Gemfile

gem "rails", "~> 3.0.20"

Будьте внимательны.

Комментарии (RSS) | Обратная ссылка | 29 Январь 2013

← Разворачиваем приложение Ruby On Rails на примере Redmine

Разбор технических проблем 27-28 февраля 2013 года. →

Новости → Очередная уязвимость найдена в Ruby on Rails веток 2.3 и 3.0