昨日公開された下記エントリの意訳です。
Riding Rails: XSS Vulnerability in Ruby on Rails
どんな脆弱性か
Railsのform helpersでのエスケープに脆弱性がある。攻撃者は、故意に変形させたunicodeの文字列をform helpersに入れることで、エスケープのチェックを外して自由にHTMLを差し挟むことができるようになる。
該当バージョン
2.0.0以降(2.3.4, 2.2.3を除く, ruby 1.9で動いているものを除く)
Impact
ほとんどのデータベースは奇形のunicodeを受け取らないか、洗浄するので、この脆弱性は恐らく一度だけ突かれるタイプの攻撃に使われる。しかし継続した攻撃かもしれない。
全ての該当するバージョンを利用するユーザーにアップグレードを勧める。
patch
2.0, 2.1, 2.2, 2.3用のパッチが用意されています。
