Heute um kurz nach Mitternacht wurde Rails 3.2.8 veröffentlicht. Neben der Änderung der Dependency Policy, über welche ich schon in einem vorherigen Artikel geschrieben habe, beinhaltet das Patch-Release auch noch ein paar wichtige Sicherheitsfixes.
Bei einem Sicherheitsupdate handelt es sich um Änderungen im HTML escaping. So wurden hier bisher keine einfachen Anführungszeichen escaped. Die beiden anderen Fixes behandeln XSS-Anfälligkeiten in den Helpern select_tag
und strip_tags
. select_tag
kannt mittels der Option :promt
ein Text deffiniert werden, welcher den User darauf hinweist, etwas aus der Select-Box auszuwählen. Dieser Wert wurde zuvor ungeparst ausgegeben.
Updaten könnt ihr wie gewöhnlich mit dem Befehl bundle update rails
im Bundler. Die Sicherheitsupdates wurden ebenfalls für Rails 3.1 und Rails 3.0 in den Versionen 3.1.8 und 3.0.17 veröffentlicht. Um hier zu updaten muss in der Gemfile die genaue Angabe der zu verwendenden Rails-Version eingetragen bzw. geändert werden: gem "rails", "3.1.8"
und danach bundle install
ausgeführt werden. Die Änderungen können wie immer hier eingesehen werden.