A SQL Injection Flaw (CVE-2012-5664) was announced last week (Jan 2) in Ruby on Rails, but I think we missed reporting on it (thanks to one of our readers for pointing this out).  Updates that resolve this are: 3.2.10, 3.1.9, and 3.0.18 Because of the security profile of Ruby on Rails (the largest Ruby project around is one you should be familiar with - Metaspolit), any security issues should be taken seriously.  However, the hype and hoopla that any site with RoR code on it is vulnerable is just that - the vulnerability being discussed is very specific in nature, but folks hear "sql injection" and (mistakenly as far as I can see) send it to the headline page. A very complete explanation of the scenarios that are at issue are outlined in this here: https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/DCNTNp_qjFM and here: http://blog.phusion.nl/2013/01/03/rails-sql-injection-vulnerability-hold-your-horses-here-are-the-facts/

オープンソースのWebアプリケーション開発フレームワーク「Ruby on Rails」のセキュリティアップデートが公開され、極めて深刻な脆弱性が修正された。全ユーザーに対し、直ちにアップデートまたは回避策を適用するよう呼びかけている。 　Ruby on Railsや米セキュリティ機関US-CERTが1月8日に公開したセキュリティ情報によると、Ruby on Railsのパラメータ解析コードに複数の脆弱性が存在する。認証システムの迂回、任意のSQL挿入、任意のコード挿入と実行、Railsアプリケーションに対するサービス妨害（DoS）攻撃などに利用される恐れがある。 　この脆弱性はRuby on Railsの全バージョンが影響を受け、危険度は共通指標CVSSのベーススコアで最も高い「10.0」と評価されている。

「Ruby on Rails」に極めて深刻な脆弱性、直ちにアップデートを - ITmedia エンタープライズ