这是真的......?
电子邮件:
“Ruby on Rails框架中发现了一个严重的安全漏洞。这个漏洞几乎影响了所有运行Rails的应用程序,并且已经提供了补丁。 Heroku安全团队检测到您正在Heroku上运行一个或多个Rails应用程序,这些应用程序似乎未修补且存在风险:
应用程序 liveboardv1(未知) knouse(3.2.8) 奥杜邦(未知) liveboardalpha(3.2.8) 您可以通过运行此脚本获取所有受影响的Heroku应用程序的完整列表。请立即将受影响的应用程序升级到下面列出的任何安全版本的Rails,以解决此安全漏洞。以下Rails版本已经过修补,并被认为是安全的: 3.2.11 3.1.10 3.0.19 2.3.15 如果您不升级,攻击者可以轻松访问您的应用程序,其数据,并运行任意代码或命令。 Heroku建议立即升级到修补版本。 如何升级: 在受影响的应用程序中打开Gemfile,并将Rails版本更改为上面列出的版本: rails'3.2.11'
然后运行: $ bundle update rails
然后将结果提交给git,并推送到Heroku: $ git push heroku master
对任何易受影响的应用程序重复。如果此时无法升级,请考虑启用维护模式或将应用程序缩减为零dynos。任何运行不安全版本的应用程序都存在风险。 谢谢, Heroku Security“
答案 0 :(得分:0)
我刚收到一封类似的电子邮件,看起来很真实。还看到了this link。 无论如何,升级到稳定版似乎是一种很好的做法。
答案 1 :(得分:0)
这是真的。应该更新所有周围的RoR应用程序并处于危险之中。