周一,Ruby on Rails Web开发框架的开发者发布了3.0.20和2.3.16版本,以解决一个关键的远程代码执行漏洞。
这是Ruby on Rails在1月份发布的第三次安全更新,Ruby on Rails是一个越来越流行的使用Ruby编程语言开发Web应用程序的框架,用于创建Hulu、GroupOn、GitHub、Scribd等网站。
Rails开发人员形容周一发布的更新是“极其重要的”博客并建议所有3.0版本的用户。2.3 x和。x Rails软件分支立即更新。
根据相应的安全咨询,新发布的Rails版本地址中的一个弱点Rails JSON (JavaScript对象表示法)代码,允许攻击者绕过身份验证系统,注入任意SQL(结构化查询语言)应用程序的数据库,注入和执行任意代码执行拒绝服务(DoS)攻击应用程序。
Rails开发人员指出,尽管收到了这次更新,Rails 3.0还是升级了。x分支不再被正式支持。请注意只有2.3。3.1 x。3.2 x和。x系列目前受到支持,”他们在咨询中表示。
建议不再受支持的Rails版本的用户尽快升级到新的受支持的版本,因为无法保证不受支持版本的安全修复程序的持续可用性。更新的3.1。3.2 x和。x Rails分支不受此漏洞影响。
这个最新的Rails漏洞被标识为CVE-2013-0333,它不同于一个关键的SQL注入漏洞CVE-2013-01561月8日在框架中修补。Rails开发人员强调,之前安装了CVE-2013-0156补丁的Rails 2.3或3.0用户仍然需要安装本周发布的新补丁。