今天发布了两个新版本的 Ruby On Rails。除了包含许多 Bug 修复外，它们还包含一些安全问题修复。每个漏洞的详细信息可以在 rubyonrails-security 邮件列表上获取。我们**强烈**敦促你尽快更新生产环境中的 Rails 应用程序。我不会将通告逐个发布到此博客中，我只会链接到 Google Talk 归档。

使用 gem install rails 安装最新版本。或者，如果你使用的是 Bundler，请编辑 Gemfile 并运行 bundle update rails。

摘要

影响 2.x.x 和 3.0.x

• “XSS 存在于 mail_to 中的风险：encode=>:javascript”：http://groups.google.com/group/rubyonrails-security/t/f02a48ede8315f81 CVE-2011-0446
• CSRF 绕过风险 CVE-2011-0447

仅影响 3.0.x

• 大小写不敏感的文件系统上的筛选器问题 CVE-2011-0449
• 使用 limit 的潜在 SQL 注入 CVE-2011-0448