-1

这是真的吗...?

电子邮件:

“在 Ruby on Rails 框架中发现了一个严重的安全漏洞。此漏洞影响几乎所有运行 Rails 的应用程序,并且已经提供了一个补丁。Heroku 安全团队检测到您正在 Heroku 上运行一个或多个 Rails 应用程序未打补丁并有风险:

应用程序 liveboardv1 (unknown) knouse (3.2.8) audubon (unknown) liveboardalpha (3.2.8) 您可以通过运行此脚本获取所有受影响的 Heroku 应用程序的完整列表。请立即将受影响的应用程序升级到下面列出的任何安全版本的 Rails,以解决此安全漏洞。以下 Rails 版本已被修补并被认为不受此漏洞的影响: 3.2.11 3.1.10 3.0.19 2.3.15 如果您不升级,攻击者可以轻松访问您的应用程序及其数据,并运行任意代码或命令。Heroku 建议立即升级到补丁版本。如何升级:在受影响的应用程序中打开 Gemfile 并将 Rails 版本更改为上面列出的版本:rails '3.2.11'

然后运行: $ bundle update rails

然后将结果提交到 git,并推送到 Heroku: $ git push heroku master

重复任何易受影响的应用程序。如果您此时无法升级,请考虑启用维护模式或将您的应用程序缩小到零 dynos。任何运行不安全版本的应用程序都存在风险。谢谢你,Heroku 安全”

4

2 回答 2

0

刚收到类似的邮件,看起来很正宗。也看到了这个链接。无论如何,升级到稳定版本似乎是一个好习惯。

于 2013-01-11T06:34:30.093 回答
0

是真的。周围的 RoR 应用程序应该更新并且处于危险之中。

于 2013-01-11T06:47:24.747 回答