[公告] Rails 3.0.10

大家好，

Rails 3.0.10 已发布。此版本包含重要的安全修复。

变更

您可以在 github 上找到详细的更改列表。以下是一些值得注意的摘录：

4 项安全修复

• 过滤器跳过错误
• SQL 注入问题
• 在 `strip_tags` 中的解析错误
• UTF-8 转义漏洞

请点击链接查看每个漏洞的具体信息，以及各自的修复补丁。

请注意，这些安全修复程序没有 CVE 标识符。我们在 8 月 5 日申请了标识符，但尚未收到回复。收到标识符后，我们将更新通知中的这些值。

也请记住订阅 Ruby on Rails 安全邮件列表。

ActionPack

• 修复了仅包含 after 过滤器的缓存清除器没有 controller 对象的问题，这会导致对 nil 抛出 controller_name 未定义方法 [jeroenj]
• 确保在引发异常时记录状态码。
• 尊重 OutputBuffer 的子类。
• 修复了 ActionView::FormOptionsHelper#select 的 :multiple => false 情况
• 在片段缓存命中时避免对 Cache#read 进行额外的调用

ActiveRecord

• 向 schema.rb 文件添加了魔术编码注释
• schema.rb 默认以 UTF-8 格式写入。
• 确保在运行 rake db:schema:dump 时已建立连接
• 关联条件不会覆盖连接条件。
• 销毁一个记录将在销毁自身之前先销毁 HABTM 记录。GH #402。
• 使 ActiveRecord::Batches#find_each 不返回 self。
• 更新 PG 中的 table_exists? 以始终使用当前 search_path 或显式设置的 schema。

本次发布延迟的原因？

您可能注意到本次发布原定于 8 月 8 日发布。我们决定推迟发布，以便获取 CVE 标识符。不幸的是，标识符仍未颁发。我们认为将安全修复程序尽快提供给用户比获取 CVE 值更重要。

这就是为什么我们的发布延迟了，并且不包含 CVE 标识符。

结束

谢谢！<3