Aujourd'hui le framework a été mise à jour vers la version 3.2.2 qui corrige deux problèmes de sécurité importants et plusieurs autres bugs. Les utilisateurs sont priés de mettre à niveau leurs installations le plus rapidement possible en raison de la gravité des failles de sécurité corrigées. Pour ceux tournant sur Rails 3.0 et 3.1, vous trouverez les nouvelles versions 3.0.12 et 3.1.4 qui abordent les mêmes vulnérabilités.
Alors déjà pour info, ces corrections n'ont aucun lien avec les problèmes qu'il y a eu entre GitHub et Rails. Dans ce patch, ce sont deux vulnérabilités de type cross-site scripting qui ont été résolues et pouvaient permettre à un pirate de profiter de manière abusive des champs stripés de la balise "option" ainsi que la manipulation directe d'un safebuffer pour exécuter du HTML de manière arbitraire dans le navigateur des utilisateurs visitant un site tournant sous Rails. De plus amples détails sur le problème avec cette balise option et le safebuffer sont disponibles.
Pour plus d'informations sur les changement opérés de la version 3.2.1 à la 3.2.2, allez faire un tour sur sur GitHub (gnark ). Rails 3.2.2 peut être téléchargé en utilisant RubyGems.
MISES A JOUR DE L'ARTICLE |