Två säkerhetsluckor har hittats i Rails 3. Som vanligt är Rails-teamet snabba med att släppa patchar till säkerhetsluckorna. Om du kör Rails 3 ordnar vi uppgraderingen snabbt och enkelt åt dig. Om din applikation fortfarande kör Rails 2 börjar det bli hög tid att titta på en uppgradering. Dels för att alla coola nya features dyker upp i Rails 3, men även för att säkerhetsluckor täpps till snabbare och oftare där.

Fixar finns tillgängliga för Rails 3.0 till 3.2 (exakta versioner som är säkrade just nu är 3.2.2, 3.1.4 och 3.0.12). Nedan följer en kort genomgång för de utvecklare som behöver se om deras applikationer drabbas.

Select-helpern

Om du tillåter användarinput i en select-ruta, vilket är ganska vanligt förekommande där man exempelvis kan välja bland fördefinierade kategorier som användaren har skapat, så blir inte användarens text escapad på rätt sätt.

Du kan gå runt detta genom att göra en content_tag istället för att bara skriva ut innehållet,

Exempelvis <%= select(‘post’, ‘category_id’, ”<option value=’#{category.id}’>#{category.name}</option>”) %> kan du göra om till <%= select(‘post’, ‘category_id’, content_tag(:option, category.name, :value => category.id) %>. Fast om du uppgraderar till senaste versionen är det fixat helt automatiskt.

Safebuffern är inte så safe

Det finns även en säkerhetslucka i SafeBuffer#[] i Ruby on Rails där osäkra buffrar felaktigt kan markeras som säkra. Ingen känd workaround finns i det här fallet, det är uppgradering som gäller (eller manuellt implementera patchen).

Akira Matsuda och Sergey Nartimov ligger bakom felsökning och buggrättning på ovanstående problem.

Källa: http://weblog.rubyonrails.org/2012/3/1/ann-rails-3-2-2-has-been-released

Du är väl med på VIP-listan?

Om du vill ha koll på nyheter inom webbdesign och vara bland de första som hör om våra nya projekt ska du såklart göra som hundratals andra designers och företagare - gå med i vår VIP-lista.