Ruby on Rails 'ActiveRecord'SQL注入漏洞(CVE-2014-3482)

文章由LinuxBoy分享于2019-04-02 02:04:35热评（138）

Ruby on Rails 'ActiveRecord'SQL注入漏洞(CVE-2014-3482)

发布日期：2014-07-02
更新日期：2014-07-04

受影响系统：
Ruby on Rails Ruby on Rails
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 68343
CVE(CAN) ID: CVE-2014-3482

Ruby on Rails简称RoR或Rails，是一个使用Ruby语言写的开源Web应用框架，它是严格按照MVC结构开发的。

Ruby on Rails 4.0.0至4.1.2版本的'bitstring'引用中存在SQL注入漏洞，成功利用后可使远程攻击者执行未授权数据库操作。

<*来源：Sean Griffin
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Ruby on Rails
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.rubyonrails.com/

重要文章阅读：Ruby入门--Linux/Windows下的安装、代码开发及Rails实战

Ruby on rails初体验系列文章：

本文永久更新链接地址：

推荐文章：

Ruby on Rails 'ActiveRecord'SQL注入漏洞(CVE-2014-3482)