我从 rails 得到了这些更新:
我想宣布 3.2.11、3.1.10、3.0.19 和 2.3.15 已经发布。这些版本包含两个极其重要的安全修复程序,因此请立即更新。 关联
正如它所说,这很关键。我刚刚使用 rails 3.1 更新了我的应用程序到 3.11 并且做了bundle update rails. 我的问题是:
现在已经修复的rails中的实际漏洞是什么?作为一名学习者,我渴望了解问题所在以及如何解决。我对此一无所知。
真的是一个很大的漏洞吗,所有没有更新的Rails应用程序都有问题吗?
这是对黑客的解释: http: //charlie.bz/blog/rails-3.2.10-remote-code-execution
以及嫩爱的原帖:https ://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ
基本上,任何人都可以使用 YAML 注入 XML 并实例化任何类型的 Ruby 对象......这很复杂,但适用于所有应用程序(当然,除了修补过的应用程序和 Rails 1.X),甚至可以执行系统命令......
任何拥有 Rails 应用程序的人都应该已经升级了……如果没有,现在就做!