Ruby on Rails prima treću sigurnosnu zakrpu za manje od mjesec dana

Razvojni program okvira za razvoj web stranica Ruby on Rails objavio je verzije 3.0.20 i 2.3.16 softvera u ponedjeljak kako bi se riješio Ovo je treće sigurnosno ažuriranje izdano u siječnju za Ruby on Rails, sve popularniji okvir za razvoj web aplikacija pomoću Rubyovog programskog jezika koji je korišten za izgradnju web stranica poput Hulu, GroupOn, GitHub, Scribd i drugih.

Razvijatelji Railsa opisuju ažuriranja objavljena u ponedjeljak kao "izuzetno kritična" u postu na blogu i savjetovali su odmah da se svi korisnici grana softvera 3.0.x i 2.3.x Rails ažuriraju.

[Dodatno Čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Prema odgovarajućem sigurnosnom savjetniku, novootvorene inačice Rails rješavaju ranjivost kodom Rails JSON (JavaScript Object Notation) koji omogućuje napadačima da zaobiđu sustave provjere autentičnosti, ubrizgavaju proizvoljne SQL (Structured Query Language) u bazu podataka aplikacije, ubrizgati i izvršiti proizvoljni kôd ili izvršiti napad od DoS (deni denial of service) (Application denial of service - DoS) protiv aplikacije.

Programeri Rails naglasili su da unatoč primljenom ovom ažuriranju, Rails 3.0.x grana više nije službeno podržana. "Imajte na umu da su trenutno podržane samo 2.3.x, 3.1.x i 3.2.x serije", rekli su u savjetodavnoj prijavi.

Verzije korisnika staza koje više nisu podržane savjetovale su nadogradnju što je prije moguće na noviju, podržanu verziju jer ne može se jamčiti stalna dostupnost sigurnosnih ispravki za nepodržane verzije. Ova ranjivost ne utječe na novije 3.1.x i 3.2.x Rails grane.

Ova najnovija Railsova ranjivost identificirana je kao CVE-2013-0333 i razlikuje se od CVE-2013-0156, kritična ranjivost SQL inženjeringa okvir 8. siječnja. Razvijatelji Rails naglasili su da su korisnici Rails 2.3 ili 3.0 koji su prethodno instalirali popravak za CVE-2013-0156 još uvijek potrebni za instalaciju novog popravka objavljenog ovog tjedna.