Ruby on Rails lukker sikkerhedshuller

Artiklen blev oprindeligt publiceret den 15/2/2013

Udviklerne af webmiljøet Ruby on Rails har lukket tre sikkerhedshuller.

Et af hullerne kan give angribere mulighed for at køre programkode, mens to andre kan bruges til angreb med SQL-indsætning. Sårbarhederne kan også udnyttes til at få applikationen til at gå ned.

To af fejlene er rettet i version 3.2.12, 3.1.11 og 2.3.17. Den tredje er rettet i en ny JSON gem.

Anbefaling
Opdater til en rettet version.

Links

• Ruby on Rails Patches DoS, Remote Execution Flaws, artikel fra Threatpost
• Rails 3.2.12, 3.1.11, and 2.3.17 have been released
• Serialized Attributes YAML Vulnerability with Rails 2.3 and 3.0 [CVE-2013-0277]
• Circumvention of attr_protected [CVE-2013-0276]