我做了一点阅读,似乎无法找到这个问题的好答案。我想知道是否有人可以评论是否有任何已知的危险使用Rails LTS(https://railslts.com)与不受支持(即未修补)的Ruby版本解释器(1.8.7或1.9.3)。我在这个问题上询问了Makandra,但是我想知道一般Rails社区中是否有人知道与这种类型的实现相关的任何安全风险(Rails 2.3 LTS with Ruby 1.8.7或1.9.3)。如果他们回复,我会在这个问题上向Makandra报告我的发现。
需要注意的是,Makandra的网站指出“为了保护我们的客户免受披露的漏洞攻击,我们已经在很长一段时间内维护旧版Rails版本的私人分支。”结合Rails LTS概述的要求(即仅使用Ruby 1.8.7进行测试),我假设Rails LTS安全地减轻了过时的基础ruby解释器所固有的漏洞。话虽这么说,我想在这个问题上对rails社区提出质疑,看看是否有任何关于使用Ruby 1.9.3 / 1.8.7实现Rails LTS的安全性方面的问题。我已经明白,过时和不受支持的宝石是一个潜在的问题。
感谢您的反馈意见。
谢谢,
丹
答案 0 :(得分:0)
我在这个问题上听到了Rails LTS团队的回复。以下是回复:
由于Ruby的攻击面远小于Rails的攻击面, Ruby漏洞的频率和严重程度往往不同 Rails的漏洞。
在最近的一个案例中,Ruby漏洞影响了典型的漏洞 在Rails应用程序中,我们提供了遗留的非正式补丁 Ruby版本(https://github.com/makandra/ruby)。但是,我们的 专业知识在于Ruby,而不是在C.因此我们无法保证未来 旧版Ruby版本的补丁。
话虽这么说,我后来意识到有很多针对1.9.3的Ruby解释器,它们仍在继续修补和支持,例如JRuby。我安装了JRuby,它看起来工作正常。