Car-tech

Ο Ruby on Rails λαμβάνει την τρίτη ενημερωμένη έκδοση ασφαλείας σε λιγότερο από ένα μήνα

Section 9

Section 9
Anonim

Οι προγραμματιστές του Ruby on Rails Web development framework δημοσίευσαν τις εκδόσεις 3.0.20 και 2.3.16 του λογισμικού τη Δευτέρα, Αυτή είναι η τρίτη ενημερωμένη έκδοση ασφαλείας που κυκλοφόρησε τον Ιανουάριο για το Ruby on Rails, ένα δημοφιλές πλαίσιο για την ανάπτυξη εφαρμογών Web χρησιμοποιώντας τη γλώσσα προγραμματισμού Ruby που χρησιμοποιήθηκε για την κατασκευή ιστοσελίδων όπως Hulu, GroupOn, GitHub, Scribd και άλλοι.

Οι προγραμματιστές της Rails περιέγραψαν τις ενημερώσεις που κυκλοφόρησαν τη Δευτέρα ως "εξαιρετικά κρίσιμες" σε μια δημοσίευση στο blog και ενημέρωσαν όλους τους χρήστες των κλάδων λογισμικού 3.0.x και 2.3.x Rails για ενημέρωση αμέσως. Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows

Σύμφωνα με μια αντίστοιχη συμβουλευτική για θέματα ασφαλείας, οι πρόσφατα εκδοθείσες εκδόσεις Rails αντιμετωπίζουν μια ευπάθεια στον κώδικα Rails JSON (JavaScript Object Notation) που επιτρέπει στους εισβολείς να παρακάμπτουν τα συστήματα ελέγχου ταυτότητας, (Structured Language Query Language) σε μια βάση δεδομένων μιας εφαρμογής, να εισάγετε και να εκτελέσετε αυθαίρετο κώδικα ή να εκτελέσετε μια επίθεση άρνησης υπηρεσίας (DoS) σε μια εφαρμογή.

Οι προγραμματιστές Rails επεσήμαναν ότι παρόλο που έλαβαν αυτήν την ενημέρωση, το Rails 3.0.x υποκατάστημα δεν υποστηρίζεται πλέον επίσημα. "Παρακαλούμε σημειώστε ότι μόνο οι σειρές 2.3.x, 3.1.x και 3.2.x υποστηρίζονται προς το παρόν", ανέφεραν στο συμβουλευτικό γραφείο.

Οι χρήστες των εκδόσεων Rails που δεν υποστηρίζονται πλέον συνιστάται να αναβαθμίσουν το συντομότερο δυνατόν σε νεότερη, υποστηριζόμενη έκδοση, επειδή δεν είναι εγγυημένη η διαρκής διαθεσιμότητα των διορθώσεων ασφαλείας για μη υποστηριζόμενες εκδόσεις. Τα νεότερα κλάσματα 3.1.x και 3.2.x Rails δεν επηρεάζονται από αυτήν την ευπάθεια.

Αυτή η πιο πρόσφατη ευπάθεια Rails αναγνωρίζεται ως CVE-2013-0333 και είναι διαφορετική από την CVE-2013-0156, μια κρίσιμη ευπάθεια SQL injection το πλαίσιο στις 8 Ιανουαρίου. Οι προγραμματιστές Rails τόνισαν ότι οι χρήστες Rails 2.3 ή 3.0 που εγκατέστησαν στο παρελθόν το fix για το CVE-2013-0156 εξακολουθούν να είναι υποχρεωμένοι να εγκαταστήσουν την νέα έκδοση που κυκλοφόρησε αυτή την εβδομάδα

Η Adobe Systems δημοσίευσε μια ενημερωμένη έκδοση ασφαλείας για την Shockwave Player της για να διορθώσει μια κρίσιμη ευπάθεια. κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα για τον Shockwave Player για να διορθώσει μια κρίσιμη ευπάθεια, η εταιρία έγραψε στο blog ασφαλείας της την Τρίτη

Η Adobe Systems δημοσίευσε μια ενημερωμένη έκδοση ασφαλείας για την Shockwave Player της για να διορθώσει μια κρίσιμη ευπάθεια. κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα για τον Shockwave Player για να διορθώσει μια κρίσιμη ευπάθεια, η εταιρία έγραψε στο blog ασφαλείας της την Τρίτη

Η Adobe δεν έδωσε πολλές λεπτομέρειες για την ευπάθεια, αλλά έγραψε ότι είναι απομακρυσμένη εκμετάλλευση, για να μολύνει έναν υπολογιστή με κακόβουλο λογισμικό μέσω του Διαδικτύου.

Η Microsoft έχει κυκλοφορήσει τις ενημερώσεις ασφαλείας της για το μήνα Σεπτέμβριο, αλλά μερικές ατέλειες που δεν καλύπτονται, μερικοί ειδικοί στην ασφάλεια αναρωτιούνται εάν η εταιρεία λογισμικού θα αναγκαστεί να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα έκτακτης ανάγκης κάποια στιγμή τον επόμενο μήνα. ένα μη επεξεργασμένο σφάλμα στο λογισμικό SMB (Server Message Block) 2 που παραδίδεται με τα Windows Vista και τον Windows Server 2008 θα μπορούσε να μετατραπεί σε σοβαρό πονοκέφαλο.

Η Microsoft έχει κυκλοφορήσει τις ενημερώσεις ασφαλείας της για το μήνα Σεπτέμβριο, αλλά μερικές ατέλειες που δεν καλύπτονται, μερικοί ειδικοί στην ασφάλεια αναρωτιούνται εάν η εταιρεία λογισμικού θα αναγκαστεί να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα έκτακτης ανάγκης κάποια στιγμή τον επόμενο μήνα. ένα μη επεξεργασμένο σφάλμα στο λογισμικό SMB (Server Message Block) 2 που παραδίδεται με τα Windows Vista και τον Windows Server 2008 θα μπορούσε να μετατραπεί σε σοβαρό πονοκέφαλο.

Έγινε απόδειξη κώδικα έννοιας που δείχνει πώς μπορεί να χρησιμοποιηθεί το σφάλμα για να καταρρεύσει ένα μηχάνημα των Windows Δευτέρα έως τη λίστα αλληλογραφίας Full Disclosure από τον Laurent Gaffie

Μέχρι στιγμής, η Microsoft λέει ότι έχει λάβει αναφορές για "μικρό αριθμό στοχοθετημένων επιθέσεων" χρησιμοποιώντας αυτό το exploit. Ο κατασκευαστής λογισμικού εργάζεται σε μια ενημερωμένη έκδοση κώδικα ασφαλείας για το πρόβλημα, αλλά η εταιρεία δεν έχει πει ακόμα αν θα εκδώσει μια ενημερωμένη έκδοση ασφαλείας το συντομότερο δυνατόν ή ως μέρος του μηνιαίου κύκλου ενημερώσεων "Τρίτη". Το επόμενο "patch Tuesday" θα είναι η 9η Οκτωβρίου.

Μέχρι στιγμής, η Microsoft λέει ότι έχει λάβει αναφορές για "μικρό αριθμό στοχοθετημένων επιθέσεων" χρησιμοποιώντας αυτό το exploit. Ο κατασκευαστής λογισμικού εργάζεται σε μια ενημερωμένη έκδοση κώδικα ασφαλείας για το πρόβλημα, αλλά η εταιρεία δεν έχει πει ακόμα αν θα εκδώσει μια ενημερωμένη έκδοση ασφαλείας το συντομότερο δυνατόν ή ως μέρος του μηνιαίου κύκλου ενημερώσεων "Τρίτη". Το επόμενο "patch Tuesday" θα είναι η 9η Οκτωβρίου.

Το εκμεταλλευόμενο έγινε δημοσιευμένο στο έργο Metasploit Project Rapid7 και ανακαλύφθηκε για πρώτη φορά σε άγρια ​​κατάσταση από τον ερευνητή ασφαλείας Eric Romang. Η Metasploit συμβουλεύει τους χρήστες να εκφορτώσουν το IE έως ότου η Microsoft εκδώσει μια ενημερωμένη έκδοση ασφαλείας. Το νέο ελάττωμα ασφαλείας του IE αναπτύχθηκε από την ίδια ομάδα που δημιούργησε το πρόσφατο ελάττωμα ημέρας Java, σύμφωνα με το Metasploit.