Час назад стало известно про серьезную уязвимость в Mojolicious, которая позволяет вычитать любой файл с файловой системы.
Баг уже исправлен, к сожалению баг был опубликовал в твиттере перед тем как передан Себастьяну.
Все срочно обновляемся!!!! Но учтите, что новый релиз не сразу попадет на все зеркала CPAN, лучше качайте прямо с официального сайта.
Если обновление слишком накладно, то настройте веб сервер, чтобы он пропускал только валидные роуты.
Дополнительная информация:
Баг уже исправлен, к сожалению баг был опубликовал в твиттере перед тем как передан Себастьяну.
Все срочно обновляемся!!!! Но учтите, что новый релиз не сразу попадет на все зеркала CPAN, лучше качайте прямо с официального сайта.
Если обновление слишком накладно, то настройте веб сервер, чтобы он пропускал только валидные роуты.
Дополнительная информация:
7 коммент.:
А что думает автор блога по поводу секурити-обстановки в коде этого фреймворка, или пока в кишки не приходилось заглядывать?
epic fail
> А что думает автор блога по поводу секурити-обстановки в коде этого фреймворка, или пока в кишки не приходилось заглядывать?
Поначалу для меня основным источником информации по Mojolicious был его код :). Но я не задавался целью найти уязвимости.
В общем от кода у меня сложилось позитивное впечатление. Себастьян вылизывает его от релиза к релизу, пишет лаконично, целостно, без хаков, я думаю, что неплохо понимает проблемы безопастности веб-приложений, имеет богатый опыт.
Для девелоперов есть удобства в плане секьюрити. Например, конструкция типа <%= name %> , по-умолчанию, делает html escape.
Мне только не хватает встроенной защиты от CSRF,
https://github.com/kraih/mojo/issues/84
2bappoy:
Соглашусь, досадный недочет. На на многих Mojolicious проектах спереди поднят nginx, который не пропускает кривые пути.
Кроме того, баги это естественно для любого ПО :). И лучше когда уязвимости находят в начале жизненого цикла фреймворка, чем через 10 лет эксплуатации.
я просто не знаю как связать с автором блога, но блог очень сильный, хотелось бы чтобы все что твориться в perl сообщество как-то отображалось и тут, в связи с чем может автор запостит линки на подскаст "Yet Another Perl Podcast".
Не шутейный баг
2paradox:
> я просто не знаю как связать с автором блога,
ну, я читаю комментарии и отписываюсь на них :).
> ... но блог очень сильный
спасибо
> хотелось бы чтобы все что твориться в perl сообщество как-то отображалось и тут
За время своего блоггерства я пришел к выводу, что мне больше подходит аналитический формат постов, чем новостной.
> в связи с чем может автор запостит линки на подскаст "Yet Another Perl Podcast".
Да, эти ребята молодцы, думаю их стоит поддержать линками :)
Отправить комментарий
Не забудьте добавить себя в постоянные читатели и включить уведомления о новых комментариях, либо воспользуйтесь RSS каналом ;)