Ruby on Rails近日被发现了两个新的安全漏洞。
1. CVE-2013-0156
该漏洞存在于Action Pack模块的参数解析代码中,允许攻击者绕过认证系统,注入并执行任意SQL代码,或对Rails应用执行DoS攻击。
受影响版本:所有版本
修复版本:3.2.11、3.1.10、3.0.19、2.3.15
2. CVE-2013-0155
当Active Record与JSON参数解析结合使用时,会存在安全风险。
受影响版本:3.x分支
修复版本:3.2.11、3.1.10和3.0.19
建议受影响版本的用户尽快升级。本月初,Ruby on Rails也曾爆出一个SQL注入漏洞。
1. CVE-2013-0156
该漏洞存在于Action Pack模块的参数解析代码中,允许攻击者绕过认证系统,注入并执行任意SQL代码,或对Rails应用执行DoS攻击。
受影响版本:所有版本
修复版本:3.2.11、3.1.10、3.0.19、2.3.15
2. CVE-2013-0155
当Active Record与JSON参数解析结合使用时,会存在安全风险。
受影响版本:3.x分支
修复版本:3.2.11、3.1.10和3.0.19
建议受影响版本的用户尽快升级。本月初,Ruby on Rails也曾爆出一个SQL注入漏洞。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/301743/viewspace-752493/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/301743/viewspace-752493/