Ruby on Rails的,建议用户升级到Web开发框架,包括重要的安全修补程序的新发行版本,根据Rails的开发团队。
在3.2.16版本的Rails周二公布地址两个交叉站点脚本漏洞和拒绝服务问题,并加强了对不安全的查询生成缺陷以前的补丁。
这两个跨站点脚本漏洞,确定为CVE-2013-4491和CVE-2013-6415,位于国际化组分和number_to_currency帮手,分别。两个漏洞允许攻击者通过发送特制的输入到脆弱的应用来执行跨站点脚本攻击。
拒绝服务漏洞,如跟踪CVE-2013-6414,坐落在动作视图头处理组件,并允许攻击者强制应用程序在特制的头部信息缓存字符串。这可能会导致缓存无限增长和消耗服务器上的所有可用内存。
其他安全问题打补丁会被跟踪CVE-2013-6417并且可以用来旁路在一月份发布了标识为不安全的查询生成问题的补丁CVE-2013-0155。“现有固定到CVE-2013-0155是不完整的,并使用共同的第三方库的可以规避意外保护”的Rails的安全团队说。
在CVE-2013-0155漏洞本身就是其他两个漏洞,CVE-二〇一二年至2660年和CVE-2012至2694年,在2012年进行了修补的的变化,并暗示这是Rails的开发团队一直在努力修复的问题一会儿。
Rails的版本4.0.2也被周二发布和地址相同的漏洞为3.2.16版本和一个额外的跨端脚本漏洞只影响4.0系列。该漏洞被标识为CVE-2013-6416而位于simple_format帮手。
在Ruby on Rails的Web应用开发框架在近几年已经得到普及开发者,并已在一些非常大的网站,包括葫芦,Scribd,Kickstarter的和GitHub上使用。
攻击者也表明在Rails的兴趣。在五月份安全研究人员报告说,Rails的漏洞已被利用妥协服务器并创建一个僵尸网络。