大家好，

Rails 3.0.10 已发布。此版本包含重要的安全修复程序。

更改内容

您可以在 github 上找到详细的更改清单。以下是部分值得注意的摘要

4 个安全修复程序

• 筛选跳过错误
• SQL 注入问题
• strip_tags 中的解析错误
• UTF-8 跳逸漏洞

请关注各链接了解每个漏洞的具体信息，以及相应的修复程序补丁。

请注意，这些安全修复程序没有 CVE 标识符。我们已在 8 月 5 日请求获取标识符，但尚未收到回复。收到标识符后，我们会用该值更新通知。

另外别忘了订阅 Ruby on Rails 安全邮件列表。

ActionPack

• 修复了一个问题，即仅有 after 筛选的缓存清除程序将没有控制器对象，它将为 nil 引发未定义的方法 controller_name [jeroenj]
• 确保在引发异常时记录状态代码。
• 尊重 OutputBuffer 的子类。
• 修复使用 :multiple => false 的 ActionView::FormOptionsHelper#select
• 在片段缓存命中时避免对 Cache#read 的额外调用

ActiveRecord

• 已将神奇编码注释添加到 schema.rb 文件
• 默认将 schema.rb 作为 UTF-8 编写
• 确保在运行 rake db:schema:dump 时建立连接。
• 关联条件不会覆盖连接条件。
• 在销毁记录之前将破坏 HABTM 记录。GH #402。
• 让 ActiveRecord::Batches#find_each 不返回 self。
• 在 PG 中更新 table_exists?，以便始终使用当前 search_path 或显式设置的架构。

为什么这次版本发布被延迟？

您可能已经注意到，此版本原本计划在 8 月 8 日发布。我们决定延迟发布，以获取 CVE 标识符。遗憾的是，标识符仍未下发。我们认为，将安全修复程序提供给我们的用户比获得 CVE 值更为重要。

这就是我们的发布版本迟到且不包含任何 CVE 标识符的原因。

结束

谢谢！<3