Срочно обновляемся до Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 во благо собственных нервов



    Доброго времени суток, дорогой читатель. Надеюсь, что ты читаешь этот короткий пост за своим утренним кофе, и тебе не пришлось творить экстренный деплой посреди ночи. Иначе — соболезную, и предлагаю тебе обновить свои Ruby on Rails приложения прямо сейчас.

    Посмотреть, что изменилось, можно на github:

    Кроме патчей самого фреймворка, команда рекомендует обновить гем JSON, сегодняшний релиз которого содержит не менее важные фиксы. В подробностях ситуацию описал chikey.

    С начала этого года уязвимость в рельсе не успел найти только ленивый. Но эта активность не столько огорчает, сколько радует — поскольку указывает на взросление фреймворка. Не забывайте следить за гуглгруппой, а также говорить спасибо людям, которые находят уязвимости и чинят их.

    Субъективно полезное, рекомендованное мною чтение:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 15
    • +1
      Ух ты, сразу две уязвимости.
      • +1
        Если быть точным, их три.
      • 0
        Про attr_protected еще в гайде по безопасности для 2.3 писали, что не стоит его использовать (правда, по другой причине). Так что, кто не спрятался — тот сам виноват.
        • +22
          Привет из соседней темы :-)

          • +2
            Спасибо, мы вас заждались :)
            • +1
              Не смог удержаться, извините :-)
          • 0
            Это уязвимость самого фреймворка?
            • 0
              Простите о каком взрослении Вы говорите, если первый релиз фреймворка был в 2004 году?
              • 0
                Уж точно не о взрослении «по годам».
                • 0
                  Хорошо. Для себя возьму на заметку, что у отдельных товарищей взросление программного продукта равноценно фиксингу его критической уязвимостей.
                  • 0
                    Linux`у уже третий десяток пошел, а массового заражения вирусами (на десктопе), как не было так и нет, хотя все готово :)
              • –1
                Уже в 3-ий раз?! Вообще по яйцам надо дать тому, кто раньше времени распространяет информацию об уязвимостях, не вижу никакой проблемы не палить тему 3, 4, 5 месяцев, да хоть пол года. Зато пофиксят и все аналогичные уязвимости. Но нет блин.
                • +2
                  Предлагаю Вам дать за такие предложения — замалчивания данной информации не стимулирует к проведению хотфиксов и обновлений, и все дальше сидят на дырявых версиях — а так, когда все знают — что все может быть ОЧЕНЬ плохо, быстро обновляются.
                  P.S. пример из мира node.js — баг с HttpServer — все после выхода патча оперативно обновились.
                • 0
                  все после выхода патча оперативно обновились.

                  вы это сразу все пользователи HttpServer?

                  на сколько я знаю MS, Apple, Oracle фиксит баги по 6-9 месяцев. Всё по расписанию и все знают когда выйдут важные патчи закрывающие критические уязвимости (чтобы точно знать какой ночью не спать до 5-и раз вендор в противоположном часовом поясе), какие именно уязвимости закроют — станет известно через некоторое время после выхода патча. В добавок вендор делает всё возможное что бы пофиксить аналогичные проблемы и во всех остальных компонентах системы.
                  А тут всё наоборот.
                  В общем ждите новых хотфиксов.

                  • 0
                    Указанные вами вендоры далеко не сразу и не в ближайшем паке обновлений предлагают фиксы, у MS бывали баги не закрывающиеся месяцами, хотя все всё знали.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.