Ruby on Rails 3.2.11, 3.1.10, 3.0.19 a 2.3.15 (diskuse)

Je to hodne desivy bug, po precitani 2 blogpostov som si bol schopny spravit exploit aj ja. Ak nemate moznost upgradu (shared hosting ...) tak tento patch by mal stacit

ActionDispatch::ParamsParser::DEFAULT_PARSERS.delete(Mime::XML)

10.1.2013 12:05 lmb
Rozbalit Rozbalit vše Re: Ruby on Rails 3.2.11, 3.1.10, 3.0.19 a 2.3.15

nestačí …

ActiveSupport::XmlMini::PARSING.delete("symbol")
ActiveSupport::XmlMini::PARSING.delete("yaml")

tedy určeno pro Rails 3.x

11.1.2013 10:07 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Ruby on Rails 3.2.11, 3.1.10, 3.0.19 a 2.3.15

Stačí, když se zalepí díra v XML, tak už nejde použít symbol ani yaml.

Later --- Lukáš Zapletal