Microsoft Azure OpenDev—June 2017
Ruby on Rails Web开发框架的开发人员周一发布了软件版本3.0.20和2.3.16,以解决这是针对Ruby on Rails发布的第三个安全更新,这是一个日益流行的使用Ruby编程语言开发Web应用程序的框架,该语言用于构建Hulu,GroupOn,GitHub,Scribd等网站等等。
Rails开发人员在周一发布的更新中称博客文章中的内容“非常关键”,并建议所有3.0.x和2.3.x Rails软件分支用户立即更新。
[进一步阅读:如何从Windows PC中删除恶意软件根据相应的安全建议,新发布的Rails版本解决了Rails JSON(JavaScript对象表示法)代码中的漏洞,该代码允许攻击者绕过认证系统,注入任意SQL (结构化查询语言)插入到应用程序的数据库中,注入并执行任意代码或对应用程序执行拒绝服务(DoS)攻击。Rails开发人员指出,尽管接收到此更新,Rails 3.0.x分支不再正式支持。 “请注意,目前只支持2.3.x,3.1.x和3.2.x系列,”他们在该咨询中表示。“
建议不再支持Rails版本的用户尽快升级到更新的受支持版本,因为不能保证不支持版本的安全修补程序的持续可用性。新的3.1.x和3.2.x Rails分支不受此漏洞的影响这个最新的Rails漏洞被标识为CVE-2013-0333,与CVE-2013-0156不同,CVE-2013-0156是一个重要的SQL注入漏洞修补程序Rails开发人员强调,之前安装了CVE-2013-0156修补程序的Rails 2.3或3.0用户仍需要安装本周发布的新修复程序。