Rails has taken the right route and went for full disclosure unlike for example the WordPress team, who still believes in the flawed concept of security by obscurity. Rails приняло право маршрут и пошел за полное раскрытие информации в отличие, например WordPress команды, которые все еще верит в недостатки концепции безопасности, неясности. After a full assessment of the security vulnerability (details below) Rails team decided they needed yet another emergency patch to fully close the hole. После всесторонней оценки уязвимости безопасности (подробности ниже) Rails команда решила им нужно еще одно чрезвычайное патч, чтобы полностью закрыть отверстие.

With Rails 1.1.0 through 1.1.5 (minus the short-lived 1.1.3), you can trigger the evaluation of Ruby code through the URL because of a bug in the routing code of Rails. Что Rails 1.1.0 через 1.1.5 (за вычетом недолгой 1.1.3), вы можете вызвать оценки Ruby код через URL из-за ошибке в маршрутизации кода Rails. This means that you can essentially take down a Rails process by starting something like /script/profiler, as the code will run for a long time and that process will be hung while it happens. Это означает, что можно считать главным вниз Rails процесс, начав-то вроде / скрипта / профайлер, как код будет баллотироваться на длительное время и этот процесс будет висела в то время как она происходит. Other URLs can even cause data loss. Другие URL, может даже вызвать потерю данных.

Commendably they have backported a fix to all the affected versions for those who can’t update to 1.1.6. Похвальным они backported исправить ко всем пострадавшим версии для тех, которые не могут обновляться до 1.1.6. You’ll have to apply the diff for your version: Вы должны обратиться сравнения для вашей версии:

These patches (and 1.1.6) will break applications using the 3rd party engines idea. Эти патчи (и 1.1.6) будет перерыв приложений с использованием 3-участнику двигателей идея. So if you can’t upgrade because of dependencies to those, you can also add the following URL blocking while engines are being updated. Так что если вы не сможете обновить из-за зависимостей между тем, вы также можете добавить следующие URL блокировки двигателей, в то время как в настоящее время обновляются. Here’s how to do it with mod_rewrite under Apache: Вот как это делать с mod_rewrite под Apache:

RewriteRule ^(app|components|config|db|doc|lib|log|public|script|test|tmp|vendor)/ - [F] RewriteRule ^ (ок | компоненты | конфигурации | дб | документ | lib | Вход | общественная | сценарий | Тест | tmp | поставщика) / - [F]

Here’s how to do it under lighttpd: Вот как это сделать под lighttpd:

url.rewrite-once = ( “^/(app|components|config|db|doc|lib|log|public|script|test|tmp|vendor)/” => “index.html” ) url.rewrite-один раз = ( "^ / (ок | компоненты | конфигурации | дб | документ | lib | Вход | общественная | сценарий | Тест | tmp | поставщика) /" => "index.html")

Source Источник