Ruby on Railsは1ヶ月以内に3番目のセキュリティパッチを受け取る

Ruby on Rails Web開発フレームワークの開発者は、月曜日にバージョン3.0.20と2.3.16をリリースした。

これは、Hulu、GroupOn、GitHub、ScribdのようなWebサイトを構築するために使用されたRubyプログラミング言語を使用してWebアプリケーションを開発するための、ますます一般的なフレームワークであるRuby on Railsの1月にリリースされた3番目のセキュリティアップデートです。

Railsの開発者は、月曜日に公開されたアップデートをブログの投稿で「非常に重要」と説明し、3.0.xおよび2.3.x Railsのソフトウェアブランチのすべてのユーザーに直ちに更新を依頼しました。あなたのWindows PCからマルウェアを削除する方法]

対応するセキュリティ勧告によると、新しくリリースされたRailsのバージョンは、Rails JSON（JavaScript Object Notation）コードの脆弱性に対処して、攻撃者が認証システムをバイパスし、 （Structured Query Language）をアプリケーションのデータベースに追加し、任意のコードを注入して実行したり、アプリケーションに対してDoS（Denial of Service）攻撃を実行したりすることができます。

Railsの開発者は、ブランチは公式にサポートされなくなりました。現在、2.3.x、3.1.xおよび3.2.xシリーズのみがサポートされていることに注意してください。」と彼らは助言しています。

サポートされなくなったRailsバージョンのユーザーは、サポートされていないバージョンのセキュリティフィックスの継続的な可用性を保証することはできないため、サポートされている新しいバージョンに変更する必要があります。最新の3.1.xおよび3.2.x Railsブランチはこの脆弱性の影響を受けません

この最新のRailsの脆弱性はCVE-2013-0333と呼ばれ、CVE-2013-0156とは異なります。 Railsの開発者は、CVE-2013-0156の修正プログラムを以前にインストールしたRails 2.3または3.0のユーザーは、今週リリースされた新しい修正プログラムをインストールする必要があることを強調しました。