пятница, 15 апреля 2011 г.

Mojolicious 1.16: Экстренный релиз, Всем обновляться!!!

Час назад стало известно про серьезную уязвимость в Mojolicious, которая позволяет вычитать любой файл с файловой системы.
Баг уже исправлен, к сожалению баг был опубликовал в твиттере перед тем как передан Себастьяну.
Все срочно обновляемся!!!! Но учтите, что новый релиз не сразу попадет на все зеркала CPAN, лучше качайте прямо с официального сайта.

Если обновление слишком накладно, то настройте веб сервер, чтобы он пропускал только валидные роуты.

Дополнительная информация:

7 коммент.:

paradox комментирует...

А что думает автор блога по поводу секурити-обстановки в коде этого фреймворка, или пока в кишки не приходилось заглядывать?

bappoy комментирует...

epic fail

koorchik комментирует...

> А что думает автор блога по поводу секурити-обстановки в коде этого фреймворка, или пока в кишки не приходилось заглядывать?

Поначалу для меня основным источником информации по Mojolicious был его код :). Но я не задавался целью найти уязвимости.

В общем от кода у меня сложилось позитивное впечатление. Себастьян вылизывает его от релиза к релизу, пишет лаконично, целостно, без хаков, я думаю, что неплохо понимает проблемы безопастности веб-приложений, имеет богатый опыт.

Для девелоперов есть удобства в плане секьюрити. Например, конструкция типа <%= name %> , по-умолчанию, делает html escape.

Мне только не хватает встроенной защиты от CSRF,
https://github.com/kraih/mojo/issues/84

koorchik комментирует...

2bappoy:
Соглашусь, досадный недочет. На на многих Mojolicious проектах спереди поднят nginx, который не пропускает кривые пути.

Кроме того, баги это естественно для любого ПО :). И лучше когда уязвимости находят в начале жизненого цикла фреймворка, чем через 10 лет эксплуатации.

paradox комментирует...

я просто не знаю как связать с автором блога, но блог очень сильный, хотелось бы чтобы все что твориться в perl сообщество как-то отображалось и тут, в связи с чем может автор запостит линки на подскаст "Yet Another Perl Podcast".

fuksito комментирует...

Не шутейный баг

koorchik комментирует...

2paradox:
> я просто не знаю как связать с автором блога,
ну, я читаю комментарии и отписываюсь на них :).

> ... но блог очень сильный
спасибо

> хотелось бы чтобы все что твориться в perl сообщество как-то отображалось и тут

За время своего блоггерства я пришел к выводу, что мне больше подходит аналитический формат постов, чем новостной.

> в связи с чем может автор запостит линки на подскаст "Yet Another Perl Podcast".
Да, эти ребята молодцы, думаю их стоит поддержать линками :)

Отправить комментарий

Не забудьте добавить себя в постоянные читатели и включить уведомления о новых комментариях, либо воспользуйтесь RSS каналом ;)