某某茶叶有限公司欢迎您!
金沙棋牌在线 > 操作系统 > Rails 3.2.2/3.1.4/3.0.12同时发布,修复重要安全漏洞

Rails 3.2.2/3.1.4/3.0.12同时发布,修复重要安全漏洞

时间:2020-04-07 10:32

Rails(Ruby on Rails)5.2.4.1 与 6.0.2.1 发布了,两个版本都主要是为了解决漏洞 CVE-2019-16782,这是一个信息泄漏/会话劫持漏洞,攻击者可以通过预测时间而找到并劫持会话 ID,进而发起攻击。

图片 1

图片 2

图片 3

Rails 是一个基于 MVC 模型的 Web 应用开发框架。

Rails开发团队今天上午发布了3.2.19、4.0.7和4.1.3三个版本,这三个版本修复了CVE-2014-3482和CVE-2014-3483两个SQL注入漏洞:引用PostgreSQL支持大量独特的数据类型,这些类型是其他数据库所不支持的,在3.x版本中,ActiveRecord的SQL引用代码中存在一个bug,允许攻击者使用特定值来注入任意SQL代码。在这三个版本发布后,Rails开发团队又紧急发布了4.0.8和4.1.4版本,主要解决新发布的安全修复版本中的PostgreSQL Range功能回退的问题。该问题只影响4.x分支,3.x分支不受影响。下载地址:

Rails官方今天连续发布了Rails 3.1.2和3.0.11,这两个版本都是补丁级别的版本,包含一个重要安全漏洞的修复和其他一些Bug的修复。修复的重要安全漏洞为:在Ruby on Rails中转换helper方法可能导致XSS攻击。该漏洞允许攻击者在页面中插入任意代码。受影响的版本:3.0.0及更高版本,安装rails_xss插件的2.3.X版本不受影响的版本:3.0.0以前的版本,没有安装rails_xss插件、没有自动XSS转换的版本修复版本:3.0.11和3.1.2详细安全信息:_thread/thread/2b61d70fb73c7cc5?pli=1建议使用上述受影响版本的用户尽快升级至今天发布的版本。此外,这两个版本还修复了一些Bug:Rails 3.1.2 Bug修复: 3.0.11 Bug修复:下载地址:Rails 3.1.2: 3.0.11:

今天,Rails团队针对三个分支进行了更新,发布了3.2.2、3.1.4和3.0.12,这三个版本均修复了2个重要的安全漏洞,建议所有Rails用户尽快升级至这三个版本。修复的安全漏洞如下:1. 选择助手中的XSS安全漏洞当开发者手动生成HTML选项标签时,与标签串联的用户输入可能不会被转义,攻击者可以注入任意HTML代码到文档中。2. 安全缓冲区中的XSS安全漏洞由于对String类优化的副作用,导致通过“[]”直接操作SafeBuffer对象的用户以及返回新SafeBuffer实例的方法可能被疏忽标记为HTML安全。此外,这三个版本还修复了一些bug,详细信息参阅:Rails 3.2.2 ChangesRails 3.1.4 ChangesRails 3.0.12 Changes下载地址:Rails 3.2.2Rails 3.1.4Rails 3.0.12

以下列表分别对应 5.2.4.1 版本中每个 gem 的更新内容: