Portál AbcLinuxu, 30. dubna 2025 21:23

Ruby on Rails 3.2.11, 3.1.10, 3.0.19 a 2.3.15

Byly vydány nové verze Ruby on Rails. Verze 3.2.11, 3.1.10, 3.0.19 a 2.3.15 řeší dva závažné bezpečnostní problémy CVE-2013-0155 a CVE-2013-0156 (obejití autentizačního systému, SQL injection, vložení a spuštění libovolného kódu, DoS útok, ...). Doporučena je okamžitá aktualizace. Před týdnem byly vydány verze 3.2.10, 3.1.9 a 3.0.18. Řešen byl bezpečnostní problém CVE-2012-5664 (SQL injection).

9.1.2013 17:03 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

10.1.2013 07:06 eventually consistent
Rozbalit Rozbalit vše Re: Ruby on Rails 3.2.11, 3.1.10, 3.0.19 a 2.3.15
Odpovědět | Sbalit | Link | Blokovat | Admin
Je to hodne desivy bug, po precitani 2 blogpostov som si bol schopny spravit exploit aj ja. Ak nemate moznost upgradu (shared hosting ...) tak tento patch by mal stacit

ActionDispatch::ParamsParser::DEFAULT_PARSERS.delete(Mime::XML)
10.1.2013 12:05 lmb
Rozbalit Rozbalit vše Re: Ruby on Rails 3.2.11, 3.1.10, 3.0.19 a 2.3.15
nestačí … 
ActiveSupport::XmlMini::PARSING.delete("symbol")
ActiveSupport::XmlMini::PARSING.delete("yaml")
 tedy určeno pro Rails 3.x
11.1.2013 10:07 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Ruby on Rails 3.2.11, 3.1.10, 3.0.19 a 2.3.15
Stačí, když se zalepí díra v XML, tak už nejde použít symbol ani yaml.
Later --- Lukáš Zapletal

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.