警告 如果你的Ruby on Rails 网站还没有升级到3.2.10,那么服务器就危险了

2013-01-10 13:31:41 +08:00
 est
https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156?x=1

简单的说,RoR的YAML/XML反序列化有个bug,客户端可以包含任意Ruby代码让服务器执行。。。

傻瓜化入侵工具已经提交到了Metasploit。。。Rails老版本全部中招

@huacnlee
5915 次点击
所在节点    Ruby on Rails
7 条回复
chloerei
2013-01-10 13:42:52 +08:00
3.2.11 已经出来了
billychow
2013-01-10 14:51:02 +08:00
谢谢提醒,看到这条消息,果断地把服务器上的一个 RoR 应用升级到最新版和 3.2.11 鸟。
Livid
2013-01-11 14:18:31 +08:00
一个新的 botnet 诞生了。
naoki
2013-01-11 14:49:26 +08:00
正在升级了
cxh116
2013-01-11 19:42:35 +08:00
刚好可以用此漏洞抓些国外主机用来看国外资讯
acen
2013-01-11 23:44:40 +08:00
@billychow 请问你升级后production.log文件每个请求间有空行么?我升级后没有了,好难看啊。
insub
2013-01-13 00:04:36 +08:00
补救:
https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/57176

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX