Ruby on Rails ได้รับแพทช์การรักษาความปลอดภัยที่สามในเวลาน้อยกว่าหนึ่งเดือน

นักพัฒนาซอฟต์แวร์ของ Ruby on Rails Web framework ได้ออกเวอร์ชัน 3.0.20 และ 2.3.16 ของซอฟต์แวร์ในวันจันทร์เพื่อที่จะแก้ไขปัญหาดังกล่าว ช่องโหว่ในการประมวลผลโค้ดจากระยะไกล

นี่คือการปรับปรุงความปลอดภัยฉบับที่สามที่ออกในเดือนมกราคมสำหรับ Ruby on Rails ซึ่งเป็นกรอบการทำงานที่นิยมมากขึ้นสำหรับการพัฒนาโปรแกรมประยุกต์บนเว็บโดยใช้ภาษาโปรแกรม Ruby ซึ่งใช้ในการสร้างเว็บไซต์ต่างๆเช่น Hulu, GroupOn, GitHub, Scribd และอื่น ๆ

นักพัฒนา Rails ได้กล่าวถึงการปรับปรุงที่ออกในวันจันทร์ว่า "สำคัญมาก" ในโพสต์บล็อกและแนะนำให้ผู้ใช้ทุกคนของสาขาซอฟต์แวร์ 3.0.x และ 2.3.x Rails อัพเดตทันที

การอ่าน: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

ตามคำแนะนำด้านความปลอดภัยที่เกี่ยวข้องเวอร์ชัน Rails ที่เพิ่งเปิดตัวใหม่จะกล่าวถึงช่องโหว่ในโค้ด Rails JSON (JavaScript Object Notation) ที่อนุญาตให้ผู้โจมตีสามารถข้ามระบบรับรองความถูกต้อง (Structured Query Language) ลงในฐานข้อมูลของแอพพลิเคชันฉีดและรันโค้ดโดยพลการหรือทำการโจมตีแบบ DoS โดยไม่ได้รับอนุญาต

นักพัฒนา Rails ชี้ให้เห็นว่าแม้จะได้รับการอัพเดทนี้ Rails 3.0.x สาขาไม่ได้รับการสนับสนุนอย่างเป็นทางการแล้ว "โปรดทราบว่าขณะนี้ได้รับการสนับสนุนเฉพาะชุด 2.3.x, 3.1.x และ 3.2.x เท่านั้น" ในการให้คำปรึกษา

ผู้ใช้เวอร์ชัน Rails ที่ไม่ได้รับการสนับสนุนอีกต่อไปควรอัปเกรดโดยเร็วที่สุด เป็นเวอร์ชันที่ใหม่กว่าและได้รับการสนับสนุนเนื่องจากไม่สามารถรับประกันการใช้งานการแก้ไขปัญหาด้านความปลอดภัยสำหรับเวอร์ชันที่ไม่สนับสนุนได้อย่างต่อเนื่อง สาขาใหม่ 3.1.x และ 3.2.x Rails จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่ Rails ล่าสุดนี้ถูกระบุว่าเป็น CVE-2013-0333 และแตกต่างจาก CVE-2013-0156 ซึ่งเป็นช่องโหว่ในการฉีด SQL ที่สำคัญ เมื่อวันที่ 8 มกราคมนักพัฒนา Rails กล่าวว่าผู้ใช้ Rails 2.3 หรือ 3.0 ที่เคยติดตั้งโปรแกรมแก้ไขสำหรับ CVE-2013-0156 จะต้องติดตั้งโปรแกรมแก้ไขใหม่ที่ออกใหม่ในสัปดาห์นี้