这是真的吗...?
电子邮件:
“在 Ruby on Rails 框架中发现了一个严重的安全漏洞。此漏洞影响几乎所有运行 Rails 的应用程序,并且已经提供了一个补丁。Heroku 安全团队检测到您正在 Heroku 上运行一个或多个 Rails 应用程序未打补丁并有风险:
应用程序 liveboardv1 (unknown) knouse (3.2.8) audubon (unknown) liveboardalpha (3.2.8) 您可以通过运行此脚本获取所有受影响的 Heroku 应用程序的完整列表。请立即将受影响的应用程序升级到下面列出的任何安全版本的 Rails,以解决此安全漏洞。以下 Rails 版本已被修补并被认为不受此漏洞的影响: 3.2.11 3.1.10 3.0.19 2.3.15 如果您不升级,攻击者可以轻松访问您的应用程序及其数据,并运行任意代码或命令。Heroku 建议立即升级到补丁版本。如何升级:在受影响的应用程序中打开 Gemfile 并将 Rails 版本更改为上面列出的版本:rails '3.2.11'
然后运行: $ bundle update rails
然后将结果提交到 git,并推送到 Heroku: $ git push heroku master
重复任何易受影响的应用程序。如果您此时无法升级,请考虑启用维护模式或将您的应用程序缩小到零 dynos。任何运行不安全版本的应用程序都存在风险。谢谢你,Heroku 安全”