Rails 3.0.6 Sicherheitsupdate veröffentlicht

Wenn folgendes in der View verwendet wird:

<%= auto_link(params[:content]) %>

Kann unter bestimmten Vorraussetzungen über “content” unerwünschter JavaScript-Code eingeschleust werden.

Um sich gegen diese Lücke zu schützen, …

• … auf Rails 3.0.6 aktualisiert werden
• … der folgende Patch eingespielt werden: Patch
• … wenn Update oder das Patchen nicht möglich ist, kann händisch das Problem umgangen werden
  • <%= sanitize(auto_link(params[:content])) %>
  • bei vertrauenswürdigen Quellen <%= raw(auto_link(params[:content])) %>

Weitere Details zu dem Release findet ihr unter folgendem Link: —> Link