Exploit Rails 2 e 3
Antonio Terceiro
terceiro at colivre.coop.br
Sun Jan 13 18:56:13 BRST 2013
On Thu, Jan 10, 2013 at 08:02:19PM -0200, Ewout ter Haar wrote:
> Estou interessado na posição dos desenvolvedores experientes do Noosfero
> sobre este bug
> http://news.ycombinator.com/item?id=5035023
> que dizem que eh o fim do mundo.
>
> Preciso me preocupar?
As vulnerabilidades relatadas na mídia são no Rails, e não no Noosfero.
Diferente do Redmine, o Noosfero não tem uma cópia do Rails dentro do
seu código-fonte, o que é uma prática ruim exatamente porque dificulta
lidar com problemas de segurança.
O Noosfero utiliza o pacote Rails oficial do Debian, de forma que uma
vez que a vulnerabilidade é corrigida no Debian, não é preciso fazer
nada no Noosfero (a não ser eventualmente reiniciar o serviço após o
upgrade normal do Debian).
OBS: o Redmine empacotado no Debian também utiliza essa abordagem, que
faz parte da política técnica do Debian (i.e. não embarcar cópias de
bibliotecas/frameworks/etc.
Eu participo da equipe que mantém o Rails no Debian, e ultimamente tenho
participado pessoalmente do tratamento de problemas de segurança. Todos
os problemas de segurança relatados recentemente estão devidamente
corrigidos no repositório oficial de segurança, de forma que basta
atualizar os servidores normalmente, e reiniciar o noosfero. Mais
informações:
http://www.debian.org/security/2013/dsa-2597
http://www.debian.org/security/2013/dsa-2604
http://packages.debian.org/changelogs/pool/main/r/rails/rails_2.3.5-1.2+squeeze4.1/changelog)
--
Antonio Terceiro <terceiro at colivre.coop.br>
Colivre - Cooperativa de Tecnologias Livres
http://www.colivre.coop.br/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: Digital signature
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130113/4e956888/attachment.pgp>
More information about the Noosfero-br
mailing list