Päivitä Ruby nyt ennen kuin se irtoaa Rails

Käytätkö Ruby on Railsia? Jos on, on aika päivittää. Nyt.

Ruby on Rails on avoimen lähdekoodin Web-sovelluskehys, joka on rakennettu käytettäväksi Ruby-ohjelmointikielen kanssa. Ruby on Rails - tai vain Rails - antaa web-kehittäjille mahdollisuuden kerätä tietoa Web-palvelimista tai kysyä tietokantaa. Rautia käytetään arviolta neljäsosa miljoonasta verkkosivustosta, jotka vaihtelevat verkkokaupasta pilvivarastoon.

Rails sisältää kriittisiä haavoittuvuuksia, joita hyökkääjät kohdistavat.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Päivitä Ruby nyt korjaamaan erittäin kriittisiä haavoittuvuuksia.

Lamar "Kaikki Ruby on Railsin epätäsmälliset versiot sisältävät kriittisiä haavoittuvuuksia, jotka liittyvät parametrien jäsentämiseen, ja hyökkääjät voivat käyttää näitä virheitä koodin suorittamiseen tai SQL injection-hyökkäysten käynnistämiseen."

Bailey huomautti myös että suosittujen työkalujen avulla on automatisoitu hyödyntämistä, joten se helpottaa hyökkääjiä. Hyödyt liikkuvat luonnossa, ja kaapattuihin Web-palvelimiin liittyy raportteja. Menestyksekäs hyödyntäminen voi sallia hyökkääjien siirtyvän verkkosivustolle tai varastaa arvotietoja taustalla olevista tietokannoista.

Asia vaikuttaa kaikkiin palvelimiin, joissa XML-jäsennin on aktiivinen - mikä on oletuksena. Mahdollinen kiertotapa on yksinkertaisesti poistaa XML-jäsennin käytöstä, mutta jos Rails-sovellustesi on käsiteltävä XML-syötettä, sinulla on ongelma. On olemassa Rails-tietoturva-ohjeisto, joka syventää ja selittää, kuinka poistaa XML-jäsentimen ongelman ydin YAML- ja Symbolituki.

Parempi ratkaisu on päivittää virheelliset Rails. Uusia Rails-versioita on saatavana, jotka korjaavat nämä haavoittuvuudet. Uudet julkaisut (3.2.11, 3.1.10, 3.0.19 ja 2.3.15) sisältävät kaksi erittäin kriittistä suojauskorjausta. Turvallisuusasiantuntijat kehottavat IT-järjestelmänvalvojia päivittämään Ruby on Railsin prioriteettia.

Bailey sanoo, "Päivitä [Rails] välittömästi, jos ei ennemmin."