Ruby on Rails最新版「2.3.5」,XSS攻撃対策のセキュリティ修正 - ニュース:ITpro(情報元のブックマーク数)
Ruby on Railsがクロスサイトスクリプティング対応で、パッチを出したとのこと。またRailsXssプラグインでエスケープ処理を自動実行するようになったとのこと。
オープンソースWebアプリケーション・フレームワーク「Ruby on Rails」の開発コミュニティは現地時間2009年11月30日,最新版「2.3.5」をリリースしたと発表した。1件のセキュリティ修正と数件のバグ修正を施した。旧版2.3.xとの互換性を維持しており,Ruby用パッケージ管理ツール「RubyGems」を使うと簡単にアップデートできるという。
Ruby on Rails最新版「2.3.5」,XSS攻撃対策のセキュリティ修正 | 日経 xTECH(クロステック)
最新版で「strip_tags」関数のセキュリティ問題を直した。この問題は制御用ascii文字を処理する「HTML::Tokenizer」内に存在し,strip_tags使用アプリケーションと「Internet Explorer(IE)」の組み合わせでクロスサイト・スクリプティング(XSS)攻撃に対するぜい弱性を生じさせていた。また,バグ修正でスクリプト言語「Ruby 1.9」に対する互換性を高めた。
最新版は「RailsXss」プラグインに対応し,XSS攻撃回避のために行うHTMLデータのエスケープ処理が自動実行できるようになった。さらに,XMLパーサー「Nokogiri」の使用にともなうバグを修正した。