Rails 4.0.2, 3.2.16リリースï¼é‡å¤§ãªã‚»ã‚ュリティFIXãŒã‚ã‚Šã¾ã™ï½œTechRacho by BPSæ ªå¼ä¼šç¤¾æ˜¨æ—¥ã€Ruby on Railsã®é‡è¦ãªã‚»ã‚ュリティアップデートã§ã‚ã‚‹ã€Rails 4.0.2ã¨3.2.16ãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã¾ã—ãŸã€‚ ã“ã®ãƒªãƒªãƒ¼ã‚¹ã«ã¯ã€5件(3.2.16ã«ã¯4件)ã®ã‚»ã‚ュリティFIXãŒå«ã¾ã‚Œã¦ã„ã¾ã™ã€‚ é‡è¦åº¦ã®é«˜ã„ã‚‚ã®ãŒã‚ã‚‹ãŸã‚ã€æ—©æ€¥ãªã‚¢ãƒƒãƒ—デートをã—ã¾ã—ょã†ã€‚ CVE-2013-6416 simple_formatヘルパーã®XSS脆弱性ã«é–¢ã™ã‚‹ä¿®æ£ã§ã™ã€‚ ※4.0.2ã®ã¿ã€‚3.2ç³»ã§ã¯å…ƒã‹ã‚‰ç™ºç”Ÿã—ãªã„ãŸã‚ã€3.2.16ã«ã¯å«ã¾ã‚Œã¾ã›ã‚“。 simple_formatã¯html_optionsã¨ã—ã¦Hashを渡ã›ã¾ã™ãŒã€ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§ã€ã“ã®class指定ãŒHTMLエスケープã•ã‚Œã¦ã„ã¾ã›ã‚“ã§ã—ãŸã€‚ class指定をユーザ入力ã«ã‚ˆã‚‹å ´åˆã€å®¹æ˜“ã«XSSãŒæˆç«‹ã—ã¦ã—ã¾ã„ã¾ã™ã€‚ simple_format "hello\nworld", class: '"><script>alert(1
GitHub - DavyJonesLocker/capybara-email: Test your ActionMailer and Mailer messages with Capybara
{{#tags}}- {{label}}
{{/tags}}