我们仍在全力开发 Rails 1.2,其中包含了所有新的漂亮的 REST 相关功能,但一个严重的安全问题引起了我们的注意,需要比 1.2 发布更早地解决。所以,这是 Rails 1.1.5!
对于任何未运行非常近期边缘版本(不受此问题影响)的用户来说,这是一个强制升级。如果您有公开的 Rails 站点,您必须升级到 Rails 1.1.5。安全问题非常严重,您不想在未打补丁的情况下被发现。
该问题的严重性如此之高,以至于我们不打算深入探讨细节。没必要给潜在的攻击者提供信息。
所以今天就升级,不要等到明天。我们确保 Rails 1.1.5 与 1.1.4 完全兼容。它只包含少量错误修复,没有新功能。
再说一遍:这不像“嗯,我应该刷牙了”。这就像“是的,我会戴上头盔,在高峰时段以每小时 100 英里的速度在市中心骑摩托车”。这不是建议,而是处方。所以,赶紧行动吧!
一如既往,技巧是运行“gem install rails”,然后更改 config/environment.rb(如果您依赖 gem),或者运行“rake rails:freeze:gems”(如果您将 gem 冻结在 vendor 目录下)。
更新:此问题影响 0.13、0.14、1.0 和 1.1.x 版本。所以,如果您还没有升级,这是一个绝佳的机会。
更新 2:我们已为 Windows 用户修复了 zlib 缓冲区问题。重新下载 gem,一切都会好起来的。
更新 3:关于通过混淆实现安全,一旦每个人都有了公平的升级机会,我们将发布此问题的完整详细信息。如果您的系统在您有机会应用补丁之前就已被泄露,那么源代码透明度将毫无意义。
更新 4:此问题 **不** 影响 Rails 1.0 或更早版本。受影响的唯一版本是 1.1.0、1.1.1、1.1.2 和 1.1.4。有关详细信息,请参阅 安全更新。
更新 5:我们已发布 Rails 1.1.6,其中包含额外的修复,并为所有受影响版本创建了回溯补丁。
附注:如果您运行的是大型 Rails 网站,并且由于某些原因无法完全升级到 1.1.5,请与核心团队联系,我们将尝试与您一起寻找解决方案。