2014-7-4 11:54| 发布者: joejoe0332| 查看: 1718| 评论: 0|原作者: oschina|来自: oschina
Rails开发团队今天上午发布了3.2.19、4.0.7和4.1.3三个版本,这三个版本修复了CVE-2014-3482和CVE-2014-3483两个SQL注入漏洞:
引用PostgreSQL支持大量独特的数据类型,这些类型是其他数据库所不支持的,在3.x版本中,ActiveRecord的SQL引用代码中存在一个bug,允许攻击者使用特定值来注入任意SQL代码。
引用
PostgreSQL支持大量独特的数据类型,这些类型是其他数据库所不支持的,在3.x版本中,ActiveRecord的SQL引用代码中存在一个bug,允许攻击者使用特定值来注入任意SQL代码。
在这三个版本发布后,Rails开发团队又紧急发布了4.0.8和4.1.4版本,主要解决新发布的安全修复版本中的PostgreSQL Range功能回退的问题。该问题只影响4.x分支,3.x分支不受影响。
下载地址:https://github.com/rails/rails/releases
: 看着牙疼!
关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号 )
