那些在网站上使用Ruby on Rails web应用程序框架的用户被建议在发现多个新的漏洞后立即更新该软件。这是本月第二次Rails因为严重缺陷而被修补。
Ruby on Rails是一个开源的web应用程序开发框架广泛使用的在网上,包括Hulu, GroupOn和Scribd。
其中一个问题是,cve - 2013 - 0156根据周二发布的一份报告,攻击者可以通过Ruby on Rails的参数解析代码绕过认证系统,对使用Rails的应用程序执行SQL注入攻击或拒绝服务攻击。SQL注入攻击包括通过基于web的表单向网站的后端数据库发送命令,如果保护不当,可能会返回敏感数据。
第二个问题是CVE-2013-0155,另一个问题是,由于活动记录解释参数的方式与JSON参数的解析方式相结合,使得攻击者可以使用命令“IS NULL”发送意外的数据库查询那样。
报告指出,这个特别的漏洞是CVE-2012-2660和CVE-2012-2694的变种。“即使你升级到解决这些问题,你也必须再次采取行动,”它说。
周二发布了四个更新版本:3.2.11,3.1.10,3.0.19和2.3.15Rails的博客。“这些版本包含两个极其重要的安全补丁,所以请立即更新,”它建议。
这是本月Rails第二次因为关键漏洞而进行更新。1月2日发布了Rails 3.2.10、3.1.9和3.0.18版本cve - 2012 - 5664, SQL注入漏洞。
Rails为发布道歉该补丁在假期前发布,但表示“遗憾的是,该漏洞已经被公开,我们觉得我们不能推迟发布。”
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk