Ruby on Rails saa kolmannen tietoturvakorjauksen alle kuukaudessa

Ruby on Rails -yrityksen kehittäjät kehittivät maanantaina ohjelmiston versiot 3.0.20 ja 2.3.16. kriittinen koodin suorittamisen haavoittuvuus.

Tämä on Ruby on Railsin kolmannen tietoturvapäivityksen julkaistu tammikuussa, yhä suositumpi kehys web-sovellusten kehittämiseksi käyttäen Ruby-ohjelmointikieltä, jota käytettiin esimerkiksi Hulu, GroupOn, GitHub, Scribd ja muut.

Rails-kehittäjät kuvattu päivitykset, jotka julkaistiin maanantaina "erittäin kriittisiksi" blogikirjoituksessa ja neuvoivat 3.0.x- ja 2.3.x Rails -ohjelmiston kaikkien sivukonttoreiden käyttäjien päivittämistä välittömästi.

[Lisää lukeminen: Haittaohjelmien poistaminen Windows-tietokoneelta]

Vastaavan turvallisuusneuvonnan mukaan vasta julkaistut Rails-versiot käsittelevät Rails JSON -koodin (JavaScript Object Notation) haavoittuvuutta, jonka avulla hyökkääjät voivat ohittaa todentamisjärjestelmiä, injektoida mielivaltaisen SQL: n (Structured Query Language) sovelluksen tietokantaan, pistele ja suorita mielivaltainen koodi tai suorita DoS-hyökkäys sovellusta vastaan.

Rails-kehittäjät huomauttivat, että huolimatta tämän päivityksen vastaanottamisesta Rails 3.0.x haaraa ei enää virallisesti tueta. "Huomaa, että tällä hetkellä tuetaan vain 2.3.x, 3.1.x ja 3.2.x-sarjoja", he sanoivat neuvoa-antavissa.

Rails -versioiden käyttäjät, joita ei enää tueta, kehotettiin päivittämään mahdollisimman pian uudempaan, tuettuun versioon, koska ei-tuettujen versioiden suojauskorjausten jatkuva saatavuus ei ole taattu. Tämä haavoittuvuus ei vaikuta uudempia 3.1.x- ja 3.2.x Rails-sivukonttoreita.

Tämä uusin Rails-haavoittuvuus tunnistetaan nimellä CVE-2013-0333 ja eroaa CVE-2013-0156: sta. kehys 8. tammikuuta. Rails-kehittäjät korostivat, että Rails 2.3: n tai 3.0: n käyttäjät, jotka aiemmin asensivat korjauksen CVE-2013-0156: lle, tarvitsevat vielä uuden viikoittaisen korjauksen asentamisen.