Car-tech

Ruby on Rails mottar det tredje sikkerhetsoppdateringen på mindre enn en måned

Ruby on Rails and Postgres on Azure End To End Tutorial | Developing and Deploying Ruby and Postgres

Ruby on Rails and Postgres on Azure End To End Tutorial | Developing and Deploying Ruby and Postgres
Anonim

Utviklere av Ruby on Rails Webutviklingsrammer utgitt versjon 3.0.20 og 2.3.16 av programvaren på mandag for å adressere en Sårbarhet for kritisk ekstern kjøring av kode.

Dette er den tredje sikkerhetsoppdateringen som ble utgitt i januar for Ruby on Rails, en stadig mer populær ramme for utvikling av webapplikasjoner ved hjelp av Ruby-programmeringsspråket som ble brukt til å bygge nettsteder som Hulu, GroupOn, GitHub, Scribd og andre.

Rails utviklere beskrev oppdateringene som ble utgitt mandag som "ekstremt kritisk" i et blogginnlegg og informerte alle brukere av grensesnittene 3.0.x og 2.3.x Rails programvare om å oppdatere umiddelbart.

[Videre leser: Slik fjerner du skadelig programvare fra din Windows-PC]

I henhold til en tilsvarende sikkerhetsrådgiving, adresserer de nylig utgitte Rails-versjonene et sikkerhetsproblem i Jails (JSON-JavaScript-objektnotasjon) -koden som tillater angripere å omgå godkjenningssystemer, injisere vilkårlig SQL (Structured Query Language) i en applikasjons database, injiser og utfør vilkårlig kode eller utfør et DoS-angrep mot et program.

Utviklerne på utviklingen påpekte at til tross for at denne oppdateringen ble mottatt, ble Rails 3.0.x gren er ikke lenger offisielt støttet. "Vær oppmerksom på at bare 2.3.x, 3.1.x og 3.2.x-serien støttes for tiden," sa de i det rådgivende.

Brukere av Rails-versjoner som ikke lenger støttes, ble rådet til å oppgradere så snart som mulig til en nyere, støttet versjon, fordi den fortsatte tilgjengeligheten av sikkerhetsoppdateringer for ikke-støttede versjoner ikke kan garanteres. Nyere 3.1.x og 3.2.x Rails-grener påvirkes ikke av dette sikkerhetsproblemet.

Dette siste sikkerhetsproblemet i Rails er identifisert som CVE-2013-0333 og er forskjellig fra CVE-2013-0156, en kritisk SQL-injeksjonssårbarhet lappes i rammene 8. januar. Rails utviklerne understreket at brukere av Rails 2.3 eller 3.0 som tidligere installerte reparasjonen for CVE-2013-0156, fortsatt er pålagt å installere den nye løsningen utgitt denne uken.