OpenForum RSS: Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... https://89.19.215.112/openforum/vsluhforumID3/88420.html Спустя всего две недели с момента прошлой (http://www.opennet.ru/opennews/art.shtml?num=35792) опасной уязвимости представлено корректирующее обновление Ruby on Rails 3.0.20 и 2.3.16 (http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3-16-have-been-released/) с устранением очередной критической уязвимости (https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/1h2DR63ViGo) (CVE-2013-0333), которая может привести к выполнению кода на сервере, обходу системы аутентификации и выполнению SQL-запроса. Проблема найдена в коде парсера JSON и может быть эксплуатирована при обработке специально сформированного JSON-блока c YAML-вставками. Для эксплуатации достаточно отправить любому приложению специальный HTTP POST-запрос с типом "text/json". <br><br><br><br>Интересно, что уязвимость имеет единые корни с прошлой (http://www.opennet.ru/opennews/art.shtml?num=35792) критической проблемой, для которой был устранён лишь частный случай проявления уязвимости. Оказалось, что кроме XML блоков YAML-вставки ан Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... (Аноним) https://89.19.215.112/openforum/vsluhforumID3/88420.html#8 Thu, 31 Jan 2013 07:56:48 GMT Ага, есть такое дело.<br>http://www.redmine.org/projects/redmine/wiki/RedmineInstall - тут есть таблица с версиями редмайна и требуемыми версиями рельс.<br> Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... (pavlinux) https://89.19.215.112/openforum/vsluhforumID3/88420.html#7 Wed, 30 Jan 2013 16:40:01 GMT &gt; рабочий прототип эксплоита.<br><br>527 форков :) Скрипт-кидисы лютуют! <br> Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... (backbone) https://89.19.215.112/openforum/vsluhforumID3/88420.html#6 Wed, 30 Jan 2013 10:12:59 GMT cd &lt;intallation_directory&gt;/ruby/bin/<br>./gem update rails 2.3.16<br><br>Так рекомендуют на форуме bitnami: http://bitnami.org/forums/forums/redmine/topics/is-there-a-way-to-upgrade-rails-manually<br><br>Заведётся ли Redmine-2 с новыми рельсами - другой вопрос.<br> Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... (Int) https://89.19.215.112/openforum/vsluhforumID3/88420.html#5 Wed, 30 Jan 2013 10:05:33 GMT &gt; Версия редмайна привязанна к версии рельс. Версию 2.0.3 есть смысл обновить до <br>&gt; 2.1.6 или 2.2.2.<br><br>Неужели всё так плохо ? :(<br>Вот что что, а сам редмайн трогать совершенно не хочется.<br> Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... (Int) https://89.19.215.112/openforum/vsluhforumID3/88420.html#4 Wed, 30 Jan 2013 10:04:39 GMT Использовали образ от bitnami<br><br>$ bundle show rails<br>Could not locate Gemfile<br> Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... (Аноним) https://89.19.215.112/openforum/vsluhforumID3/88420.html#3 Wed, 30 Jan 2013 08:07:46 GMT Версия редмайна привязанна к версии рельс. Версию 2.0.3 есть смысл обновить до 2.1.6 или 2.2.2.<br> Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... (backbone) https://89.19.215.112/openforum/vsluhforumID3/88420.html#2 Wed, 30 Jan 2013 07:36:17 GMT Смотря как ставили, если вручную из Git, то достаточно bundle update rails.<br> Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением крити... (Int) https://89.19.215.112/openforum/vsluhforumID3/88420.html#1 Wed, 30 Jan 2013 05:23:25 GMT Кто-нибудь знает как корректно обновить рельсы под редмайном 2.0.3 ?<br><br>