路轨上正确的路线并且为不同充分的透露去例如WordPress队,仍然相信安全的有缺陷的概念由朦胧。 在对安全漏洞的一个充分评估以后(见下)用栏杆围队决定他们需要另外紧急补丁充分地关闭孔。

使用路轨1.1.0至1.1.5 (减短命1.1.3),您能通过URL触发红宝石代码的评估由于在路轨路由代码的一个臭虫。 这意味着您能通过开始某事本质上中断路轨过程象/script/profiler,因为代码长期将跑,并且将垂悬过程,当它发生时。 其他URL可能甚而导致数据损失。

他们难能可贵地backported固定对不可能更新到1.1.6的那些人的所有受影响的版本。 您将必须应用您的版本的diff :

这些补丁(和1.1.6)使用第三者引擎想法,将打破应用。 因此,如果您不可能升级由于附庸到那些,您能也增加阻拦以下的URL,当引擎更新时。 这如何做它与mod_rewrite在亚帕基印第安人之下:

RewriteRule ^ (app|组分|设置|db|doc|解放|日志|公众|剧本|测试|tmp|供营商)/- [F]

这如何做它在lighttpd之下:

url.rewrite一旦= ("^/(app|组分|设置|db|doc|解放|日志|公众|剧本|测试|tmp|供营商)/” => “index.html”)

来源