67677新澳门手机版 > 新澳门手机版mg游戏 > Rails 5.2.4.1 与 6.0.2.1 发布,修复漏洞
Rails 5.2.4.1 与 6.0.2.1 发布,修复漏洞
2020-03-20 18:19

Rails(Ruby on Rails)5.2.4.1 与 6.0.2.1 发布了,两个版本都主要是为了解决漏洞 CVE-2019-16782,这是一个信息泄漏/会话劫持漏洞,攻击者可以通过预测时间而找到并劫持会话 ID,进而发起攻击。

图片 1

图片 2

图片 3

Rails 是一个基于 MVC 模型的 Web 应用开发框架。

Rails开发团队今天上午发布了3.2.19、4.0.7和4.1.3三个版本,这三个版本修复了CVE-2014-3482和CVE-2014-3483两个SQL注入漏洞:引用PostgreSQL支持大量独特的数据类型,这些类型是其他数据库所不支持的,在3.x版本中,ActiveRecord的SQL引用代码中存在一个bug,允许攻击者使用特定值来注入任意SQL代码。在这三个版本发布后,Rails开发团队又紧急发布了4.0.8和4.1.4版本,主要解决新发布的安全修复版本中的PostgreSQL Range功能回退的问题。该问题只影响4.x分支,3.x分支不受影响。下载地址:

Rails开发团队今天面向三个分支发布了安全更新版本3.2.13、3.1.12和2.3.18,这些版本都修复了重要的安全漏洞,建议开发者尽快升级。其中修复的漏洞包括:CVE-2013-1854:Active Record模块中的DoS漏洞CVE-2013-1855:Action Pack模块sanitize_css中的XSS漏洞CVE-2013-1856:影响JRuby用户的XML解析漏洞CVE-2013-1857:Ruby on Rails sanitizehelper中的 XSS漏洞对于停止维护的3.0分支,你可以在Github上找到相关补丁。详细发布日志:Changes in 3.2.13Changes in 3.1.12Changes in 2.3.18Via Railsblog

Rails官方今天连续发布了Rails 3.1.2和3.0.11,这两个版本都是补丁级别的版本,包含一个重要安全漏洞的修复和其他一些Bug的修复。修复的重要安全漏洞为:在Ruby on Rails中转换helper方法可能导致XSS攻击。该漏洞允许攻击者在页面中插入任意代码。受影响的版本:3.0.0及更高版本,安装rails_xss插件的2.3.X版本不受影响的版本:3.0.0以前的版本,没有安装rails_xss插件、没有自动XSS转换的版本修复版本:3.0.11和3.1.2详细安全信息:_thread/thread/2b61d70fb73c7cc5?pli=1建议使用上述受影响版本的用户尽快升级至今天发布的版本。此外,这两个版本还修复了一些Bug:Rails 3.1.2 Bug修复: 3.0.11 Bug修复:下载地址:Rails 3.1.2: 3.0.11:

以下列表分别对应 5.2.4.1 版本中每个 gem 的更新内容:

上一篇:V8 发布 v8 下一篇:没有了