Rails 有 6 個安全性風險

受影響的 Rails 版本：全部！

修復版本

• 5.0.0.beta1.1
• 4.2.5.1
• 4.1.14.1
• 3.2.22.1

CVE 分別為：

• CVE-2015-7576 HTTP 基本認證的時間攻擊（Action Controller）
• CVE-2016-0751 洩漏內存導致的 DoS 攻擊（Action Pack）
• CVE-2015-7577 嵌套屬性可能繞過 proc 檢查（Active Record）
• CVE-2016-0752 可能洩漏資訊（Action View）
• CVE-2016-0753 可能可以規避輸入驗證（Active Model）
• CVE-2015-7581 Wildcard 路由可能洩漏內存（Action Pack

rails-html-sanitizer 有 3 個安全性風險

修復版本

• 1.0.3

CVE 分別為：

• CVE-2015-7578 可能的 XSS 風險（rails-html-sanitizer）
• CVE-2015-7579 可能的 XSS 風險（rails-html-sanitizer）
• CVE-2015-7578 可能的 XSS 風險（rails-html-sanitizer）

詳見

http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-html-sanitizer-1-0-3-have-been-released/

參考

• https://github.com/rubygems/rubygems.org/pull/1181
• 使用 RSpec 執行測試遇到未定義 cache 方法，升級 rspec-rails 到 ~> 3.4.1 即可，詳見：https://github.com/rspec/rspec-rails/issues/1532#issuecomment-175116827 。

P.S.

可以用 https://www.deppbot.com 自動幫你升級，請看範例 1、範例 2 😊。

*deppbot 要有 Gemfile + Gemfile.lock 才可用，缺一不可 *