Wydano trzy krytyczne poprawki dotyczące platformy Rails: 2.3.14, 3.0.10 i 3.1.0RC6. Według informacji od programistów poprawki zostały dokonane 8 sierpnia, jednakże na prośbę jednego z członków CVE zostały tymczasowo wstrzymane. Łatki są dostępne pod powyższymi linkami.
Podatność na SQL Injection w quote_table_name
wykryto w Railsach 2.3.x, 3.0.x i 3.1. Rails 3.x były podatne na ominięcie filtra, który pozwalał atakującym wyrenderować widok, do którego nie powinni mieć nigdy dostępu. Problem podziału odpowiedzi, który pozwalał napastnikom na wstrzyknięcie nagłówków HTTP w odpowiedź, obejmował tylko wersję Rails 2.3.x.
Kolejny błąd znaleziono w XSS w strip_tags
i pomagał infekować Rails 3.0.x, 2.3.x oraz 3.1 RC. Inna podatność XSS znajdowała się w funkcji wyjścia Railsów i atakowała te same wersje, jednakże w momencie uruchomienia w Ruby 1.8.x. Aktualizacja 3.0.10 zawiera dodatkowo poprawki nie związane z bezpieczeństwem dla ActionPack i ActiveRecord. Wersja 2.3.14 zawiera także dwie poprawki nie obejmujące zabezpieczeń.
An SQL Injection vulnerability in quote_table_name affects the 2.3.x, 3.0.x and 3.1 versions of Rails. Rails 3.x was affected by the filter skipping vulnerability that allowed attackers to „render a view they should not have access to”. A response splitting issue which allowed attackers to inject HTTP headers into responses, only affected Rails 2.3.x. An XSS vulnerability in the strip_tags helper affected Rails 3.0.x, 2.3.x and 3.1 release candidates. Another XSS vulnerability in the escaping function of Rails affected the same versions but only when running in Ruby 1.8.x. The 3.0.10 update also contains non-security fixes for ActionPack and ActiveRecord. The 2.3.14 release also includes two non-security bug fixes.
http://www.h-online.com/security/news/item/Rails-gets-updates-for-critical-issues-in-all-versions-1324381.html