Ruby on Rails 中的表单帮助程序转义代码存在漏洞。
攻击者可以注入恶意 unicode
字符串到表单帮助程序中从而破坏转义检查并注入
任意 HTML。

Versions Affected:  2.0.0 and *all* subsequent versions.
Not affected:       Applications running on ruby 1.9
Fixed Versions:     2.3.4, 2.2.3
Candidate CVE:      CVE-2009-3009

影响

由于大多数数据库都不接受或主动
清理恶意 unicode 字符串，此漏洞最有可能
通过非持久化攻击来利用，但是某些配置中仍然
可能存在持久化攻击。

建议受影响版本的所有用户升级到已修复版本。

版本

2.3.4 和 2.2.3 版本将很快发布，其中包含此问题的修复。

补丁

为了向运行不受支持
版本或当前无法升级的用户提供修复，我们已经提供
针对所有受影响的稳定发布分支的补丁。

补丁采用适合 git-am 的格式，且由两
个变更集组成。清理多字节字符串的代码以及在
相关帮助程序中引入该代码。

• 2-0-CVE-2009-3009。patch — 2.0 系列补丁
• 2-1-CVE-2009-3009。patch — 2.1 系列补丁
• 2-2-CVE-2009-3009。patch — 2.2 系列补丁
• 2-3-CVE-2009-3009。patch — 2.3 系列补丁

请注意，目前仅支持 2.2.x 和 2.3.x 系列。
建议较早不受支持版本的以前用户尽快升级
而不是以后，因为我们无法保证未来问题
会以此方式进行反向移植。

鸣谢

感谢 Brian Mastenbrook 向我们报告此漏洞，以及来自 Fingertips 的 Manfred Stienstra 与我们在修复中开展工作。