Rails 3.0.6 Sicherheitsupdate veröffentlicht

Rails ist in der Version 3.0.6 als Sicherheitsupdate erschienen. Das geschlossene Sicherheitsleck betrifft einen möglichen Angriff über XSS. Dabei kann bei der Verwendung von auto_link Fremdcode eingeschleust werden.

Wenn folgendes in der View verwendet wird:

<%= auto_link(params[:content]) %>

Kann unter bestimmten Vorraussetzungen über „content“ unerwünschter JavaScript-Code eingeschleust werden.

Um sich gegen diese Lücke zu schützen, ….

  • … auf Rails 3.0.6 aktualisiert werden
  • … der folgende Patch eingespielt werden: Patch
  • … wenn Update oder das Patchen nicht möglich ist, kann händisch das Problem umgangen werden
    • <%= sanitize(auto_link(params[:content])) %>
    • bei vertrauenswürdigen Quellen
      <%= raw(auto_link(params[:content])) %>

Weitere Details zu dem Release findet ihr unter folgendem Link: –> Link

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.