Срочно обновляемся до Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 во благо собственных нервов



    Доброго времени суток, дорогой читатель. Надеюсь, что ты читаешь этот короткий пост за своим утренним кофе, и тебе не пришлось творить экстренный деплой посреди ночи. Иначе — соболезную, и предлагаю тебе обновить свои Ruby on Rails приложения прямо сейчас.

    Посмотреть, что изменилось, можно на github:

    Кроме патчей самого фреймворка, команда рекомендует обновить гем JSON, сегодняшний релиз которого содержит не менее важные фиксы. В подробностях ситуацию описал chikey.

    С начала этого года уязвимость в рельсе не успел найти только ленивый. Но эта активность не столько огорчает, сколько радует — поскольку указывает на взросление фреймворка. Не забывайте следить за гуглгруппой, а также говорить спасибо людям, которые находят уязвимости и чинят их.

    Субъективно полезное, рекомендованное мною чтение:
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 15

      +1
      Ух ты, сразу две уязвимости.
        +1
        Если быть точным, их три.
        0
        Про attr_protected еще в гайде по безопасности для 2.3 писали, что не стоит его использовать (правда, по другой причине). Так что, кто не спрятался — тот сам виноват.
          +22
          Привет из соседней темы :-)

            +2
            Спасибо, мы вас заждались :)
              +1
              Не смог удержаться, извините :-)
            0
            Это уязвимость самого фреймворка?
              0
              Простите о каком взрослении Вы говорите, если первый релиз фреймворка был в 2004 году?
                0
                Уж точно не о взрослении «по годам».
                  0
                  Хорошо. Для себя возьму на заметку, что у отдельных товарищей взросление программного продукта равноценно фиксингу его критической уязвимостей.
                    0
                    Linux`у уже третий десяток пошел, а массового заражения вирусами (на десктопе), как не было так и нет, хотя все готово :)
                –1
                Уже в 3-ий раз?! Вообще по яйцам надо дать тому, кто раньше времени распространяет информацию об уязвимостях, не вижу никакой проблемы не палить тему 3, 4, 5 месяцев, да хоть пол года. Зато пофиксят и все аналогичные уязвимости. Но нет блин.
                  +2
                  Предлагаю Вам дать за такие предложения — замалчивания данной информации не стимулирует к проведению хотфиксов и обновлений, и все дальше сидят на дырявых версиях — а так, когда все знают — что все может быть ОЧЕНЬ плохо, быстро обновляются.
                  P.S. пример из мира node.js — баг с HttpServer — все после выхода патча оперативно обновились.
                  0
                  все после выхода патча оперативно обновились.

                  вы это сразу все пользователи HttpServer?

                  на сколько я знаю MS, Apple, Oracle фиксит баги по 6-9 месяцев. Всё по расписанию и все знают когда выйдут важные патчи закрывающие критические уязвимости (чтобы точно знать какой ночью не спать до 5-и раз вендор в противоположном часовом поясе), какие именно уязвимости закроют — станет известно через некоторое время после выхода патча. В добавок вендор делает всё возможное что бы пофиксить аналогичные проблемы и во всех остальных компонентах системы.
                  А тут всё наоборот.
                  В общем ждите новых хотфиксов.

                    0
                    Указанные вами вендоры далеко не сразу и не в ближайшем паке обновлений предлагают фиксы, у MS бывали баги не закрывающиеся месяцами, хотя все всё знали.

                  Only users with full accounts can post comments. Log in, please.