Ruby on Rails menerima patch keamanan ketiga dalam waktu kurang dari sebulan

Pengembang kerangka kerja pengembangan Web Ruby on Rails merilis versi 3.0.20 dan 2.3.16 dari perangkat lunak pada hari Senin untuk membahas kerentanan eksekusi kode jarak jauh kritis.

Ini adalah pembaruan keamanan ketiga yang dirilis pada bulan Januari untuk Ruby on Rails, kerangka yang semakin populer untuk mengembangkan aplikasi Web menggunakan bahasa pemrograman Ruby yang digunakan untuk membuat situs web seperti Hulu, GroupOn, GitHub, Scribd dan lainnya.

Pengembang Rails menggambarkan pembaruan yang dirilis Senin sebagai "sangat penting" dalam posting blog dan menyarankan semua pengguna dari cabang perangkat lunak 3.0.x dan 2.3.x Rails untuk segera memperbarui.

[Lanjut membaca: Bagaimana cara menghapus malware dari PC Windows Anda]

Menurut penasehat keamanan yang terkait, versi Rails yang baru dirilis membahas kerentanan dalam kode Rails JSON (JavaScript Object Notation) yang memungkinkan penyerang untuk melewati sistem otentikasi, menyuntikkan SQL sewenang-wenang (Structured Query Language) ke dalam basis data aplikasi, menyuntikkan dan mengeksekusi kode arbitrer atau melakukan serangan denial-of-service (DoS) terhadap sebuah aplikasi.

Pengembang Rails menunjukkan bahwa meskipun menerima pembaruan ini, Rails 3.0.x cabang tidak lagi didukung secara resmi. "Harap dicatat bahwa hanya seri 2.3.x, 3.1.x dan 3.2.x yang didukung saat ini," kata mereka dalam penasehat.

Pengguna versi Rails yang tidak lagi didukung disarankan untuk melakukan upgrade sesegera mungkin ke versi yang lebih baru dan didukung, karena ketersediaan lanjutan perbaikan keamanan untuk versi yang tidak didukung tidak dapat dijamin. Cabang 3.1.x dan 3.2.x Rails yang lebih baru tidak terpengaruh oleh kerentanan ini.

Kerentanan Rail terbaru ini diidentifikasi sebagai CVE-2013-0333 dan berbeda dari CVE-2013-0156, kerentanan SQL injection kritis yang ditambal kerangka kerja pada 8 Januari. Pengembang Rails menekankan bahwa pengguna Rails 2.3 atau 3.0 yang sebelumnya menginstal perbaikan untuk CVE-2013-0156 masih diperlukan untuk menginstal perbaikan baru yang dirilis minggu ini.