Ruby On Rails: Atualização para Corrigir Falhas de Segurança

O Ruby on Rails trouxe as versões 2.3.11 e 3.0.4, que são de manutenção e atualizações de segurança com a finalidade de abordar quatro vulnerabilidades dessa natureza em seu framework web open source. Segundo os desenvolvedores, as atualizações mais recentes corrigem uma vulnerabilidade Cross-Site Scripting (XSS) no mail_to helper quando utilizado com a opção :encode => :javascript, bem como uma vulnerabilidade Cross-Site Request Forgery (CSRF), que poderia permitir que um atacante burlasse as proteções embutidas. Todas as versões, incluindo a 2.3.10 e 3.0.3 são afetadas pelo problema.

Duas vulnerabilidades que afetam somente o ramo 3.0.x do Ruby on Rails também foram corrigidas, uma questão de injeção de SQL com o método limit() e uma fraqueza no sistema de arquivos de filtragem de código. Os desenvolvedores aconselham todos os usuários a atualizar para as últimas versões o mais rápido possível.

Mais detalhes sobre as atualizações de segurança podem ser encontradas em uma postagem no blog do Ruby on Rails, publicada por Michael Koziarski. Os usuários podem instalar a versão mais recente utilizando o gem install rails ou atualizar com gem update rails. Os patches para as versões existentes também estão disponíveis. No entanto, no momento desta postagem, a página inicial do projeto ainda mostra as versões 3.0.3 e 2.3.8 como as últimas atualizações. Rails é liberado sob a licença MIT.


Saiba Mais:

[1] Ruby On Rails Security: http://groups.google.com/group/rubyonrails-security
[2] Weblog Ruby on Rails: http://weblog.rubyonrails.org/2011/2...3-11-and-3-0-4