Bei der Bekanntgabe YUI 3.1.2: Critical Security Update für alle Benutzer YUI 3.1.x/3.2.0pr1 »Yahoo! User Interface Blog (YUIBlog)

Bei der Bekanntgabe YUI 3.1.2: Critical Security Update für alle Benutzer YUI 3.1.x/3.2.0pr1

19. August 2010 um 12:35 Uhr von Eric Miraglia | Im Development | Keine Kommentare

Das Team YUI 3.1.2 freigegeben YUI heute. Dies ist ein wichtiges Sicherheitsupdate für alle Nutzer von YUI 3.1.x und 3.2.0pr1. Wenn Sie Hosting YUI 3.1.x oder 3.2.0pr1 auf Ihrer Website, oder wenn Sie YUI 3.1.x/3.2.0pr1 IO's Cross-Domain-Funktionalität zu nutzen, sind Sie betroffen.

XDR in YUI IO-Dienstprogramm führt eine Flash Transport als Fallback für Browser, die keine native XDR. Ein Fehler in unserer Implementierung der Flash-Fallback in YUI Versionen 3.1.x und 3.2.0pr1 ermöglicht die io.swf Datei auf unsichere betreiben, ob Server bedient vom Yahoo! EUR oder von Ihrer eigenen. Die Abhilfe für dieses Problem ist ein zweifaches:

Wenn Sie Server bereitgestellt haben die volle YUI 3.1.x/3.2.0pr1 Build-Verzeichnis auf Ihrem ersetzen build/io/io.swf in den betroffenen Version mit der Version, die in YUI 3.1.2. Tun Sie dies, ob Sie mit IO-Dienstprogramm oder seine XDR-Funktion.
Wenn Sie mit IO's XDR-Funktion, ein Upgrade auf die 3.1.2 Version von io-swf -Mails das Problem der Sicherheit. Host Version 3.1.2 von io.swf auf Ihrem eigenen Server (diese Datei kann nicht sicher betrieben von einem EUR; es ist nicht inbegriffen 3.1.2 auf dem CDN ab). Wenn Sie Zeichnung wurden io.swf aus http://yui.yahooapis.com , entfernen Sie diese Domain von Ihrem crossdomain.xml Datei.