Les rails a pris l'itin�raire droit et est all�s pour la pleine r�v�lation diff�rente par exemple l'�quipe de WordPress, qui croit toujours en concept d�fectueux de s�curit� par obscurit�. Apr�s une �valuation compl�te de la faille de la s�curit� (d�tails ci-dessous) cl�ture l'�quipe a d�cid� qu'ils ont eu besoin d'encore une autre correction de secours pour fermer enti�rement le trou.

Avec les rails 1.1.0 � 1.1.5 (sans les 1.1.3 de courte dur�e), vous pouvez d�clencher l'�valuation du code rouge par l'URL en raison d'un bogue dans le code de cheminement des rails. Ceci signifie que vous pouvez essentiellement prendre vers le bas un processus de rails en commen�ant quelque chose comme /script/profiler, car le code fonctionnera pendant longtemps et que le processus sera accroch� tandis qu'il se produit. D'autres URL peuvent m�me causer la perte de donn�es.

Louablement ils backported une difficult� � toutes les versions affect�es pour ceux qui ne peuvent pas mettre � jour � 1.1.6. Vous devrez appliquer le diff pour votre version :

Ces corrections (et 1.1.6) casseront des applications utilisant l'id�e de moteurs de tiers. Ainsi si vous ne pouvez pas am�liorer en raison des d�pendances � ceux, vous pouvez �galement ajouter l'URL suivant bloquant tandis que les moteurs sont mis � jour. Voici comment le faire avec le mod_rewrite sous Apache :

^ de RewriteRule ($$etAPP|composants|config|DB|Doc. |biblioth�que|notation|public|manuscrit|essai|tmp|) de fournisseur/- [F]

Voici comment le faire sous le lighttpd :

url.rewrite-once = ("^/($$etAPP|composants|config|DB|Doc. |biblioth�que|notation|public|manuscrit|essai|tmp|) de fournisseur/�� => ��index.html��)

Source