0

我从 rails 得到了这些更新:

我想宣布 3.2.11、3.1.10、3.0.19 和 2.3.15 已经发布。这些版本包含两个极其重要的安全修复程序,因此请立即更新。 关联

正如它所说,这很关键。我刚刚使用 rails 3.1 更新了我的应用程序到 3.11 并且做了bundle update rails. 我的问题是:

  1. 现在已经修复的rails中的实际漏洞是什么?作为一名学习者,我渴望了解问题所在以及如何解决。我对此一无所知。

  2. 真的是一个很大的漏洞吗,所有没有更新的Rails应用程序都有问题吗?

4

1 回答 1

2

这是对黑客的解释: http: //charlie.bz/blog/rails-3.2.10-remote-code-execution

以及嫩爱的原帖:https ://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ

基本上,任何人都可以使用 YAML 注入 XML 并实例化任何类型的 Ruby 对象......这很复杂,但适用于所有应用程序(当然,除了修补过的应用程序和 Rails 1.X),甚至可以执行系统命令......

任何拥有 Rails 应用程序的人都应该已经升级了……如果没有,现在就做!

于 2013-01-17T18:37:08.063 回答