Вышел Ruby on Rails 2.3.5 с исправлением XSS уязвимости

30 ноября 2009 года

Вышел корректирующий релиз MVC фреймворка Ruby on Rails 2.3.5, содержащий исправления накопившихся ошибок и устранение проблемы безопасности в реализации функции strip_tags, которая не экранировала непечатные ascii-символы, что могло быть использовано для организации XSS-атаки с подстановкой JavaScript кода злоумышленника для пользователей браузера Internet Explorer.

Кроме исправлений ошибок в Ruby on Rails 2.3.5 проведена работа по улучшению совместимости с Ruby 1.9. В состав пакета добавлен новый плагин RailsXss, позволяющий автоматически экранировать спецсимволы в строках выводимых через erb шаблоны. Также налажена работа Nokogiri бэкенда для XmlMini, что позволяет вместо REXML использовать более быстрый XML парсер Nokogiri.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Вышел Ruby on Rails 2.3.5 с исправлением XSS уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.