• Atualização para Ruby On Rails Corrige Vulnerabilidades

    Publicado em 15-10-2010 13:19
    0 Comentários Comentários
    O Ruby on Rails, tendo a frente sua equipe de desenvolvedores lançou as versões 3.0.1 e 2.3.10 do seu framework de aplicações web, fechando uma vulnerabilidade encontrada no Rails, especificamente no uso do accepts_nested_attributes_for. Se um aplicativo não estiver utilizando accepts_nested_attributes_for ou utiliza uma versão do Rails anterior à 2.3.9, ele não é afetado pelo problema. Com a existência dessa falha, há a permissão para que um atacante possa manipular entradas de formulário e fazer mudanças arbitrárias de registros no sistema. Os desenvolvedores dizem que todos os usuários que estiverem executando uma versão que tenha sido afetada, devem fazer a atualização imediatamente.



    A versão 2.3.10 é uma liberação regular da série 2.3 do Rails, mas a versão 3.0.1 contém apenas a correção de segurança. Uma próxima versão, que será a 3.0.2, deverá ser liberada posteriormente, incluindo outras correções importantes. Os patches também estão disponíveis no alerta para os usuários que não são capazes de fazer a atualização imediatamente. Os desenvolvedores fazem um agradecimento aos pesquisadores Enemy & Son pelo fato de relatar o problema encontrado, e pela contribuição feita no processo de correção.


    Saiba Mais:

    [1] Ruby On Rails: http://groups.google.com/group/rubyo...28dafe0c?pli=1
    + Enviar Comentário