Rails 3.2.8 wurde veröffentlicht

Heute um kurz nach Mitternacht wurde Rails 3.2.8 veröffentlicht. Neben der Änderung der Dependency Policy, über welche ich schon in einem vorherigen Artikel geschrieben habe, beinhaltet das Patch-Release auch noch ein paar wichtige Sicherheitsfixes.

Bei einem Sicherheitsupdate handelt es sich um Änderungen im HTML escaping. So wurden hier bisher keine einfachen Anführungszeichen escaped. Die beiden anderen Fixes behandeln XSS-Anfälligkeiten in den Helpern select_tag und strip_tags. select_tag kannt mittels der Option :promt ein Text deffiniert werden, welcher den User darauf hinweist, etwas aus der Select-Box auszuwählen. Dieser Wert wurde zuvor ungeparst ausgegeben.

Updaten könnt ihr wie gewöhnlich mit dem Befehl bundle update rails im Bundler. Die Sicherheitsupdates wurden ebenfalls für Rails 3.1 und Rails 3.0 in den Versionen 3.1.8 und 3.0.17 veröffentlicht. Um hier zu updaten muss in der Gemfile die genaue Angabe der zu verwendenden Rails-Version eingetragen bzw. geändert werden:  gem "rails", "3.1.8" und danach bundle install ausgeführt werden. Die Änderungen können wie immer hier eingesehen werden.

Tom Cz

Bin ein bayerischer SEO und WebDeveloper. ➤ Technical SEO ➤ Google Analytics ➤ Google Tag Manager

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.