Car-tech

A Ruby on Rails kevesebb, mint egy hónap alatt kapja meg a harmadik biztonsági javítást

Technology Stacks - Computer Science for Business Leaders 2016

Technology Stacks - Computer Science for Business Leaders 2016
Anonim

A Ruby on Rails fejlesztői a webfejlesztési keretrendszerben kiadták a szoftver 3.0.20 és 2.3.16 verzióját hétfőn egy kritikus távoli kódfuttatást lehetővé tevő biztonsági rés.

Ez a Ruby on Rails-ban januárban kiadott harmadik biztonsági frissítés, amely egyre népszerűbb kereteket jelent a webes alkalmazások fejlesztéséhez a Ruby programnyelv használatával, melyet a Hulu, a GroupOn, a GitHub, a Scribd és mások.

A Rails fejlesztők a hétfőn közzétett frissítéseket "rendkívül kritikusnak" tekintették egy blogbejegyzésben, és a 3.0.x és a 2.3.x Rails szoftverfiók minden felhasználóját azonnal tájékoztatták.

[További olvasás: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

A megfelelő biztonsági tanácsok szerint az újonnan kiadott Rails verziók a Rails JSON (JavaScript Object Notation) kód sérülékenységére vonatkoznak, amely lehetővé teszi a támadók számára a hitelesítési rendszerek megkerülését, tetszőleges SQL (Strukturált lekérdezési nyelv) egy alkalmazás adatbázisába, tetszőleges kódot futtathat és futtathat, vagy végrehajthat egy denial-of-service (DoS) támadást egy alkalmazás ellen.

A Rails fejlesztők rámutattak, hogy ennek a frissítésnek a megszerzése ellenére a Rails 3.0.x ága már nem hivatalosan támogatott. "Kérjük, vegye figyelembe, hogy jelenleg csak a 2.3.x, a 3.1.x és a 3.2.x sorozat támogatott" - mondták a tanácsadó.

A már nem támogatott Rails felhasználóknak ajánlott a lehető leghamarabb frissíteni egy újabb, támogatott verzióra, mivel a nem támogatott változatok biztonsági javításainak folyamatos rendelkezésre állása nem garantálható. Ez a biztonsági rés nem érinti az új 3.1.x és 3.2.x Rails fiókokat.

Ez a legújabb Rails biztonsági rés CVE-2013-0333-nak minősül, és különbözik a CVE-2013-0156-ból. a keretrendszer a január 8-án. A Rails fejlesztők hangsúlyozták, hogy a Rails 2.3 vagy 3.0 felhasználók, akik korábban telepítették a CVE-2013-0156 javításra vonatkozó javítást, még mindig szükségük van a héten kiadott új javítás telepítésére.