Railsからこれらのアップデートを入手しました:
3.2.11、3.1.10、3.0.19、2.3.15がリリースされたことをお知らせします。これらのリリースには2つの非常に重要なセキュリティ修正が含まれているため、すぐに更新してください。 リンク
それが重要だと言っているように。アプリケーションをrails3.1から3.11に更新し、実行しましたbundle update rails。私の質問は次のとおりです。
現在修正されているレールの実際の抜け穴は何でしたか?学習者として、私は問題が何であったか、そしてそれがどのように修正されたかを理解したいと思っています。私はこれについてどこにも行くことができませんでした。
それは本当に大きな抜け穴ですか、そして更新されていないすべてのRailsアプリケーションに問題はありますか?
ハッキングの説明は次のとおりです:http://charlie.bz/blog/rails-3.2.10-remote-code-execution
そして、tenderloveによる元の投稿:https ://groups.google.com/forum/?fromgroups =#!topic / rubyonrails-security / 61bkgvnSGTQ
基本的に、誰でもXMLを挿入し、YAMLを使用してあらゆる種類のRubyオブジェクトをインスタンス化できます...複雑ですが、すべてのアプリ(もちろん、パッチが適用されたアプリとRails 1.Xを除く)で動作し、システムコマンドを実行することもできます...
Railsアプリを持っている人は、すでにアップグレードしているはずです...そうでない場合は、今すぐアップグレードしてください!