A poco più di un mese dal rilascio dei precedenti aggiornamenti, gli sviluppatori del progetto hanno reso disponibili Rails 3.2.13, 3.1.12 e 2.3.18; anche in questo caso le nuove release si sono rese necessarie per la correzione di alcune problematiche legate alla sicurezza, si consiglia quindi di procedere quanto prima ad un upgrade dei propri ambienti di produzione.
Per quanto riguarda le vulnerabilità individuate, prese singolarmente esse riguardano una o più release precedenti a quelle ora disponibili; nello specifico dovrebbero essere stati risolti:
- un problema presente nell'Active Record legato ad una vulnerabilità Symbol DoS
- una vulnerabilità XSS (Cross-site scripting sanitize_css
- una vulnerabilità che coinvolgeva il parsing XML
- un ulteriore pericolo di attacchi basati su XSS a carico del sanitize helper
àˆ da segnalare che, nonostante l'individuazione di almeno una delle vulnerabilità elencate in tutte le versioni di Rails, date le policy di supporto previste per la manutenzione del progetto soltanto le release 3.2.xx, 3.1.xx e 2.3.xx godranno di un aggiornamento rilasciato ufficialmente.
Via Rubyonrails.org
