[Ror-es] Actualización crítica: Rails 1.1.5
Sergio Gil Pérez de la Manga
sgilperez at gmail.com
Thu Aug 10 09:36:55 GMT 2006
2006/8/10, Imobach González Sosa <imobachgs at banot.net>:
> El Miércoles, 9 de Agosto de 2006 19:42, Raul Murciano escribió:
>
> > Más en
> > http://weblog.rubyonrails.com/2006/8/9/rails-1-1-5-mandatory-security-patch
> >-and-other-tidbits
>
> David ha anunciado que las versiones 1.0 y posteriores y la 1.1.3 no están
> afectadas.
Parece que se va haciendo la luz y que alguien, ¡oh, milagro!, se ha
leido el diff (además con bastante recochineo, jeje: "with the elite
hacking tool diff -r").
Según parece, por un fallo en validación de las rutas, es posible
ejecutar código Ruby que esté fuera del directorio de la aplicación.
--
Sergio Gil Pérez de la Manga <sgilperez at gmail.com>
More information about the Ror-es
mailing list