Пользователь
0,0
рейтинг
12 февраля 2013 в 00:48

Разработка → Срочно обновляемся до Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 во благо собственных нервов



Доброго времени суток, дорогой читатель. Надеюсь, что ты читаешь этот короткий пост за своим утренним кофе, и тебе не пришлось творить экстренный деплой посреди ночи. Иначе — соболезную, и предлагаю тебе обновить свои Ruby on Rails приложения прямо сейчас.

Посмотреть, что изменилось, можно на github:

Кроме патчей самого фреймворка, команда рекомендует обновить гем JSON, сегодняшний релиз которого содержит не менее важные фиксы. В подробностях ситуацию описал chikey.

С начала этого года уязвимость в рельсе не успел найти только ленивый. Но эта активность не столько огорчает, сколько радует — поскольку указывает на взросление фреймворка. Не забывайте следить за гуглгруппой, а также говорить спасибо людям, которые находят уязвимости и чинят их.

Субъективно полезное, рекомендованное мною чтение:
Николай Шебанов @shebanoff
карма
53,7
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (15)

  • +1
    Ух ты, сразу две уязвимости.
    • +1
      Если быть точным, их три.
  • 0
    Про attr_protected еще в гайде по безопасности для 2.3 писали, что не стоит его использовать (правда, по другой причине). Так что, кто не спрятался — тот сам виноват.
  • +22
    Привет из соседней темы :-)

    • +2
      Спасибо, мы вас заждались :)
      • +1
        Не смог удержаться, извините :-)
  • 0
    Это уязвимость самого фреймворка?
  • 0
    Простите о каком взрослении Вы говорите, если первый релиз фреймворка был в 2004 году?
    • 0
      Уж точно не о взрослении «по годам».
      • 0
        Хорошо. Для себя возьму на заметку, что у отдельных товарищей взросление программного продукта равноценно фиксингу его критической уязвимостей.
        • 0
          Linux`у уже третий десяток пошел, а массового заражения вирусами (на десктопе), как не было так и нет, хотя все готово :)
  • –1
    Уже в 3-ий раз?! Вообще по яйцам надо дать тому, кто раньше времени распространяет информацию об уязвимостях, не вижу никакой проблемы не палить тему 3, 4, 5 месяцев, да хоть пол года. Зато пофиксят и все аналогичные уязвимости. Но нет блин.
    • +2
      Предлагаю Вам дать за такие предложения — замалчивания данной информации не стимулирует к проведению хотфиксов и обновлений, и все дальше сидят на дырявых версиях — а так, когда все знают — что все может быть ОЧЕНЬ плохо, быстро обновляются.
      P.S. пример из мира node.js — баг с HttpServer — все после выхода патча оперативно обновились.
  • 0
    все после выхода патча оперативно обновились.

    вы это сразу все пользователи HttpServer?

    на сколько я знаю MS, Apple, Oracle фиксит баги по 6-9 месяцев. Всё по расписанию и все знают когда выйдут важные патчи закрывающие критические уязвимости (чтобы точно знать какой ночью не спать до 5-и раз вендор в противоположном часовом поясе), какие именно уязвимости закроют — станет известно через некоторое время после выхода патча. В добавок вендор делает всё возможное что бы пофиксить аналогичные проблемы и во всех остальных компонентах системы.
    А тут всё наоборот.
    В общем ждите новых хотфиксов.

    • 0
      Указанные вами вендоры далеко не сразу и не в ближайшем паке обновлений предлагают фиксы, у MS бывали баги не закрывающиеся месяцами, хотя все всё знали.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.