钉扣机厂家
免费服务热线

Free service

hotline

010-00000000
钉扣机厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

【新闻】RubyonRails发布SQL注入漏洞补丁

发布时间:2020-10-14 12:32:25 阅读: 来源:钉扣机厂家

最近两个SQL注入漏洞在Ruby?on?Rails上发现并修复了,Ruby?on?Rails是一个流行的开源Web开发框,架被一些高知名度的网站所使用。

????Rails的开发者在周三发布了其框架的3.2.19,4.0.7和4.1.3版本,并建议用户尽快升级。几个小时后,他们再次发布的4.0.8和4.1.4版本以修复4.0.7和4.1.3更新所造成的的漏洞。两个SQL注入漏洞其中之一影响运行在Rails?2.0.0至3.2.18版本的应用程序上,同时它也存在PostgreSQL数据库系统和查询位字符串数据类型中。另一个漏洞影响到运行,在4.0.0至4.1.2版本的应用程序当使用PostgreSQL和查询范围的数据类型时。

????尽管影响不同的版本,这两个缺陷是相关的,都允许攻击者使用特殊的值注入到任意SQL查询代码中。“唯一可行的解决方法是不允许使用者控制查询的数据为受影响的数值类型。”Rails的开发者在一个安全公告中说。“这很难确保,最好的建议升级。”对于情况下立即的升级版本是不可能的马上出现,开发商发布了代码补丁,使用者可以手动应用。

????Ruby?on?Rails的已经在开发人员之间普及,近年来,已在许多大型网站运用。它赢得了由Facebook和微软赞助的“纳入互联网基础设施的关键部分”的奖金。

香奈儿

纪梵希官网

古驰官网