Rails开发团队今天上午发布了3.2.19、4.0.7和4.1.3三个版本,这三个版本修复了CVE-2014-3482和CVE-2014-3483两个SQL注入漏洞:
PostgreSQL支持大量独特的数据类型,这些类型是其他数据库所不支持的,在3.x版本中,ActiveRecord的SQL引用代码中存在一个bug,允许攻击者使用特定值来注入任意SQL代码。
在这三个版本发布后,Rails开发团队又紧急发布了4.0.8和4.1.4版本,主要解决新发布的安全修复版本中的PostgreSQL Range功能回退的问题。该问题只影响4.x分支,3.x分支不受影响。
下载地址:https://github.com/rails/rails/releases
来自:开源中国社区
