资讯频道 编程语言
阅读更多

4顶
0踩

编程语言

原创新闻 Rails 3.2.2/3.1.4/3.0.12同时发布,修复重要安全漏洞

2012-03-02 10:29 by 副主编 wangguo 评论(0) 有4274人浏览
Rails Ruby

声明:ITeye资讯文章的版权属于ITeye网站所有,严禁任何网站转载本文,否则必将追究法律责任!

今天,Rails团队针对三个分支进行了更新,发布了3.2.2、3.1.4和3.0.12,这三个版本均修复了2个重要的安全漏洞,建议所有Rails用户尽快升级至这三个版本。


修复的安全漏洞如下:

1. 选择助手(select helper)中的XSS安全漏洞

当开发者手动生成HTML选项标签时,与标签串联的用户输入可能不会被转义,攻击者可以注入任意HTML代码到文档中。

2. 安全缓冲区(SafeBuffer)中的XSS安全漏洞

由于对String类优化的副作用,导致通过“[]”直接操作SafeBuffer对象的用户以及返回新SafeBuffer实例的方法可能被疏忽标记为HTML安全。

此外,这三个版本还修复了一些bug,详细信息参阅:

下载地址:


  • 大小: 12.7 KB
4
0
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Global site tag (gtag.js) - Google Analytics