Rails-Update schließt XSS-Lücke

Das Ruby on Rails Framework wurde aktualisiert und mit einem Flicken ausgestattet, der eine XSS-Schwachstelle schließt. Die Schwachstelle befindet sich laut Aussage der Entwickler in der Helper-Methode für i18n-Übersetzungen. Die Schwachstelle lässt sich ausnutzen, um beliebigen Code in eine Seite einzuspeisen.

Betroffen sind Rails 3.0.0 und später, sowie 2.3.x in Kombination mit der rails_xss-Erweiterung. Eine Aktualisierung auf 3.0.11 oder 3.1.2 merzt die Lücke aus. Sie finden weitere Informationen dazu in den Chagelogs zu 3.0.11 und 3.1.2. Anwender können die neuen Versionen mittels gem install rails installieren oder via gem update rails aktualisieren. Den Quellcode der Open-Source-Software finden Sie bei GitHub. (jdo)