Ruby On Rails : scoperta grave vulnerabilità!

Ruby On Rails, il web framework del momento, è affetto da una grave falla di sicurezza; il blog di Ruby On Rails, oltre ad invitare con urgenza all'upgrade definendolo OBBLIGATORIO, non fornisce nessun dettaglio relativo al problema.
Le versioni a rischio sono le release successive alla 1.0 ad esclusione della 1.1.3 quindi 1.1.0, 1.1.1, 1.1.2 e 1.1.4; e' disponibile il download via RubyGems della versione fixata 1.1.5.

Qualche curioso ha spulciato il repository per controllare le differenze tra la versione 1.1.4 e 1.1.5.
Le modifiche, elencate di seguito, non sembrano nulla di clamoroso tanto che, sul canale IRC di Rails, si parla di una sorta di depistaggio.
* Changes to path handling code in ActionMailer
* Addition of attachment handling/multipart code
* Changes to path handling code in ActionViewer

La politica di non rendere pubblica la vulnerabilità, oltre a scontentare i famelici Script Kiddies di turno, fa storcere il naso alla comunità di utilizzatori che si vede costretta ad upgradare i propri sistemi senza saperne il vero motivo; su Slashdot se ne sta appunto parlando.

  • shares
  • Mail
2 commenti Aggiorna
Ordina: