Rails Rails 3.2.22, 4.1.11 and 4.2.2 发布了,修复了 N 个安全漏洞

kgen · 2015年06月17日 · 最后由 huacnlee 回复于 2015年06月17日 · 2942 次阅读

部分漏洞比较严重,线上的应用快升级。

Rails 4.1.11 and 4.2.2 修复的漏洞:

  • CVE-2015-3226
  • CVE-2015-3227

Rails 3.2.22 修复的漏洞:

  • CVE-2015-3227

jquery-ujs 和 jquery-rails 修复的漏洞:

  • CVE-2015-1840

Rack 修复的漏洞:

  • CVE-2015-3225

简单说一下这几个漏洞

  • CVE-2015-3227 是 XML 解析器的一个 bug,通过一个特别构造的 XML 请求,导致 SystemStackError,连续发送可以搞挂系统,用于 DoS Attack.
  • CVE-2015-3226 是个 XSS 漏洞,出现在 JSON encode 的部分。
  • CVE-2015-1840 是一个 CSRF 漏洞,攻击者可以控制 href 属性,让它指向一个用于攻击的 URL。

官方链接:Rails 3.2.22, 4.1.11 and 4.2.2 have been released and more

需要 登录 后方可回复, 如果你还没有账号请 注册新账号