Rails连发5版本,修复SQL注入漏洞
jopen 10年前
Rails 开发团队今天上午发布了 3.2.19、4.0.7 和 4.1.3 三个版本,这三个版本修复了 CVE-2014-3482和 CVE-2014-3483两个 SQL 注入漏洞:
PostgreSQL 支持大量独特的数据类型,这些类型是其他数据库所不支持的,在 3.x 版本中,ActiveRecord 的 SQL 引用代码中存在一个 bug,允许攻击者使用特定值来注入任意 SQL 代码。
在这三个版本发布后,Rails 开发团队又紧急发布了 4.0.8 和 4.1.4 版本,主要解决新发布的安全修复版本中的 PostgreSQL Range 功能回退的问题。该问题只影响 4.x 分支,3.x 分支不受影响。
下载地址:https://github.com/rails/rails/releases
来自: www.iteye.com