什麼是新的Rails關鍵安全修復程序？

Question

我從欄杆這些更新：

我想宣佈，3.2.11，3.1.10，3.0.19和2.3.15已經發布。這些版本包含兩個非常重要的安全修復程序，因此請立即更新。 link

因爲它說這是至關重要的。我剛剛更新了我的應用程序與導軌3.1至3.11並沒有bundle update rails。我的問題是：

1. 現在已經修復了軌道上的實際漏洞是什麼？ 作爲一個學生，我渴望瞭解的問題是什麼，以及它如何被修復。我無法得到任何關於此的信息。

2. ，這真是個很大的漏洞，並在那裏對所有的Rails應用程序，它沒有更新任何問題嗎？

Answer 1

下面是黑客的解釋：http://charlie.bz/blog/rails-3.2.10-remote-code-execution

而且原帖由tenderlove：https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ

基本上，任何人都可以注射XML和使用YAML實例任何Ruby對象的...這是複雜，但適用於所有的應用程序（當然，除了修補一個，和Rails 1.X），甚至可以執行系統命令...

任何具有Rails應用周圍應該已經升級......如果不是， 現在做！