Rails Rails 3.2.22, 4.1.11 and 4.2.2 发布了,修复了 N 个安全漏洞
部分漏洞比较严重,线上的应用快升级。
Rails 4.1.11 and 4.2.2 修复的漏洞:
- CVE-2015-3226
- CVE-2015-3227
Rails 3.2.22 修复的漏洞:
- CVE-2015-3227
jquery-ujs 和 jquery-rails 修复的漏洞:
- CVE-2015-1840
Rack 修复的漏洞:
- CVE-2015-3225
简单说一下这几个漏洞
- CVE-2015-3227 是 XML 解析器的一个 bug,通过一个特别构造的 XML 请求,导致 SystemStackError,连续发送可以搞挂系统,用于 DoS Attack.
- CVE-2015-3226 是个 XSS 漏洞,出现在 JSON encode 的部分。
- CVE-2015-1840 是一个 CSRF 漏洞,攻击者可以控制 href 属性,让它指向一个用于攻击的 URL。
官方链接:Rails 3.2.22, 4.1.11 and 4.2.2 have been released and more
