Ruby China

Rails ActionView 的組件有安全問題,請趕快更新 rails-html-sanitizer,並確定是否已經是 1.0.4 或以上

Aiken00 · 2018年03月22日 · 最后由 rails_taotao 回复于 2018年04月25日 · 4515 次阅读

Loofah 有 security 的問題,這個 gem 是 rails-html-sanitizer 的一部分

然而 rails-html-sanitizer 是 actionview 的一部分

所以,可以的話盡快更新最新版本吧。。。

更新後請確定你的 rails-html-sanitizer 版本是否 1.0.4

https://github.com/flavorjones/loofah/issues/144

This issue has been created for public disclosure of an XSS / code injection vulnerability that was responsibly reported by the Shopify Application Security Team.
5 个赞
Rei_mk2 #1 2018年03月23日

[CVE-2018-8048] Loofah XSS Vulnerability https://groups.google.com/forum/#!topic/rubyonrails-security/b__OeLG9bts

[CVE-2018-3741] XSS vulnerability in rails-html-sanitizer https://groups.google.com/forum/#!topic/rubyonrails-security/tP7W3kLc5u4

所有项目都应该升级。

1 个赞
gihnius #3 2018年03月23日
huacnlee 回复

ActionView 依赖的,估计都得中枪!

1 个赞
huacnlee #4 2018年03月23日

已修复,并上线

1 个赞
wesley6j #6 2018年03月24日

谢谢,看到后赶紧更新了自己的网站。

Aiken00 #7 2018年03月24日

既然頂置了,那我就把標題寫得清楚一點

aldrich #8 2018年03月25日

有保安问题。。。

1 个赞
msg7086 #9 2018年03月28日

是不是只影响到用户输入 HTML 的情况?如果用户不输入 HTML 是不是没事?

sevk #10 2018年03月31日
msg7086 回复

会被黑客利用

eaonll #11 2018年04月25日

@huacnlee 好腻害。这么快就修复了吗?

huacnlee #12 2018年04月25日

我没看,直接删除了,你试试再发一个,难倒我漏洞没修复?

eaonll #13 2018年04月25日
huacnlee 回复

哈哈,我试试。这个不是 CVE 的,就是 markdown 的常规漏洞,没有过滤 javascript url schemeclick me

15 楼 已删除
eaonll #16 2018年04月25日
huacnlee 回复

nice!!

1 个赞
rails_taotao #17 2018年04月25日
huacnlee 回复

你好。有个技术难题一直无法解决,本人在开发环境使用 RAILS_ENV=production rails assets:precompile 进行预编译,然后通过“rsync -cvzrltogD --progress #{fetch(:local_path)}/public/assets/* #{fetch(:user)}@#{fetch(:domain)}:#{fetch(:current_path)}/public/assets/”上传到生产模式。但是生产模式无法访问这些静态文件,请问下这是什么原因。

需要 登录 后方可回复, 如果你还没有账号请 注册新账号