Фреймворк Ruby on Rails подвержен уязвимости шестилетней давности

Один из контирибьюторов Ruby on Rails, Аарон Паттерсон, сообщил в одном из
обсуждений в Google Groups о критической уязвимости в фреймворке. В его
сообщении утверждалось, что способ обработки фреймворком определенных
XML-параметров позволяет «обходить системы аутентификации, проводить
произвольные SQL-инъекции, вводить и воспроизводить произвольный код, а также
производить DoS-атаки на Rails-приложения».

Позже Паттерсон в своем твиттере отметил, что уязвимость впервые появилась в
версии 2.0 и с тех пор переходила из версии в версию. Изменение, вызвавшее
уязвимость можно увидеть на

github, оно было произведено шесть лет назад.

Рекомендуется произвести обновление фреймворка до версии 3.2.11, 3.1.10,
2.0.19 или 2.3.15. В них уязвимость уже отсутствует. Если это не представляется
возможным, Паттерсон предлагает полностью отключить функцию обработки XML.