Доброго времени суток, дорогой читатель. Надеюсь, что ты читаешь этот короткий пост за своим утренним кофе, и тебе не пришлось творить экстренный деплой посреди ночи. Иначе — соболезную, и предлагаю тебе обновить свои Ruby on Rails приложения прямо сейчас.
Посмотреть, что изменилось, можно на github:
- 3.2.х -> 3.2.12 (уязвимость в attr_protected)
- 3.1.х -> 3.1.11 (та же уязвимость в attr_protected и очередная уязвимость в YAML)
- 2.3.x -> 2.3.17 (YAML, attr_protected)
Кроме патчей самого фреймворка, команда рекомендует обновить гем JSON, сегодняшний релиз которого содержит не менее важные фиксы. В подробностях ситуацию описал chikey.
С начала этого года уязвимость в рельсе не успел найти только ленивый. Но эта активность не столько огорчает, сколько радует — поскольку указывает на взросление фреймворка. Не забывайте следить за гуглгруппой, а также говорить спасибо людям, которые находят уязвимости и чинят их.
Субъективно полезное, рекомендованное мною чтение: