Критическая уязвимость в Rails. Опять

[nick4fake]

Что-то я не понимаю, разве об этой уязвимости на хабре уже не писали (недели две назад)?

Не оно же? Или это новая уязвимость?
habrahabr.ru/post/165343/

[A1lfeG]

Вроде бы новая.

[nick4fake]

Просто меня смущает схожесть:

<< Чуть подробнее. Не так давно многие обратили внимание на то что рельсы по умолчанию принимают не только x-www-form-urlencoded параметры, но и XML/JSON. А XML внутри себя принимает также такой тип данных как YAML

<< Rails поддерживают несколько бэкэндов для парсинга JSON. Один из бэкэндов включает в себя трансформирование JSON в YAML через YAML Parser

Неужели они в rails дважды ошиблись, а после первого патча ошибка осталась?

[nick4fake]

А что насчет ветки 3.0.x?

А также этого:
<< Например, если у вас json с одинарными кавычками(что не позволено спецификацией JSON), то сейчас с этим будут проблемы.

[TheShock]

Странно, что опять не Chikey ))

[MpaK999]

Да, но Егор был занят в этот раз «местью» разработчику Spree, ему не до Rails секурности было :))

[Homakov]

ну, уязвимость в старых версиях, скучно ) другое дело люди начали щас ломать rubygems/travis etc

мы с ryan помирились — вторую уязвимость я уже по почте ему сообщил )

[aTei]

2.3.x, 3.0.x не очень популярные версии, как мне кажется. Хотя статистики по версиям найти не удалось.

[hazg]

а вы сделаете bundle update после этой новости?

[aTei]

Не уловил связь.

[hazg]

ок.
>> 2.3.x, 3.0.x
вряд ли являются не популярными версиями.