Rack::Protection v1.5.5 发布
我刚刚发布了 Rack Protection v1.5.5,用于回溯安全修复。
详情
v1.5.5 包含针对 CVE-2018-1000119 的安全修复。
已确定 CSRF 令牌检查中存在时间攻击漏洞,可能导致签名泄露。
原始修复 已经在 rack-protection v2.0.0.rc3 中合并。因此,如果您使用的是 rack-protection v2.0.0.rc3 或更高版本,则没有问题。
首先,我们强烈建议您检查当前应用程序中使用的 rack-protection 版本。您可以通过查看 Gemfile.lock 中嵌入的 rack-protection 版本来确认这一点。
因此,如果您仍然使用的是 rack-protection v1.5.4 或更早版本,我们强烈建议您升级该 gem。
感谢
最后,我衷心感谢 Andreas Karlsson 和 Kurt Seifried 为解决此问题所付出的努力。谢谢。