Rails Rails & rails-html-sanitizer 安全性更新
本帖已被管理员设置为精华贴
Rails 有 6 個安全性風險
受影響的 Rails 版本:全部!
修復版本
- 5.0.0.beta1.1
- 4.2.5.1
- 4.1.14.1
- 3.2.22.1
CVE 分別為:
- CVE-2015-7576 HTTP 基本認證的時間攻擊(Action Controller)
- CVE-2016-0751 洩漏內存導致的 DoS 攻擊(Action Pack)
- CVE-2015-7577 嵌套屬性可能繞過 proc 檢查(Active Record)
- CVE-2016-0752 可能洩漏資訊(Action View)
- CVE-2016-0753 可能可以規避輸入驗證(Active Model)
- CVE-2015-7581 Wildcard 路由可能洩漏內存(Action Pack
rails-html-sanitizer 有 3 個安全性風險
修復版本
- 1.0.3
CVE 分別為:
- CVE-2015-7578 可能的 XSS 風險(rails-html-sanitizer)
- CVE-2015-7579 可能的 XSS 風險(rails-html-sanitizer)
- CVE-2015-7578 可能的 XSS 風險(rails-html-sanitizer)
詳見
參考
- https://github.com/rubygems/rubygems.org/pull/1181
- 使用 RSpec 執行測試遇到未定義 cache 方法,升級 rspec-rails 到 ~> 3.4.1 即可,詳見:https://github.com/rspec/rspec-rails/issues/1532#issuecomment-175116827 。
P.S.
可以用 https://www.deppbot.com 自動幫你升級,請看範例 1、範例 2 😊。
*deppbot 要有 Gemfile + Gemfile.lock 才可用,缺一不可 
*
