De makers van het populaire opensource-webapplicatieframework Ruby on Rails hebben een belangrijke beveiligingsupdate uitgebracht. De patch verhelpt een SQL Injectie-probleem dat in alle versies aanwezig was. De ontwikkelaars adviseren dan ook alle beheerders om direct naar versie 3.2.10, 3.1.9 of 3.0.18 te upgraden. Doordat de exploit voor het lek al online stond, zagen de ontwikkelaars geen andere mogelijkheid.
"We betreuren het om een release zoals deze zo dicht op de vakantie uit te brengen, maar helaas is de exploit publiek geopenbaard en vinden we dat we de release niet verder kunnen uitstellen." Om de impact voor beheerders te beperken, is het aantal aanpassingen in elke nieuwe versie tot een minimum beperkt, waardoor het upgraden zo eenvoudig mogelijk zou moeten zijn.
De exploit stond al sinds 21 december online en maakte het mogelijk om inloggegevens van Ruby on Rails-systemen te stelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.