什么是新的Rails关键安全修复程序？

Question

我从栏杆这些更新：

我想宣布，3.2.11，3.1.10，3.0.19和2.3.15已经发布。这些版本包含两个非常重要的安全修复程序，因此请立即更新。 link

因为它说这是至关重要的。我刚刚更新了我的应用程序与导轨3.1至3.11并没有bundle update rails。我的问题是：

1. 现在已经修复了轨道上的实际漏洞是什么？ 作为一个学生，我渴望了解的问题是什么，以及它如何被修复。我无法得到任何关于此的信息。

2. ，这真是个很大的漏洞，并在那里对所有的Rails应用程序，它没有更新任何问题吗？

Answer 1

下面是黑客的解释：http://charlie.bz/blog/rails-3.2.10-remote-code-execution

而且原帖由tenderlove：https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ

基本上，任何人都可以注射XML和使用YAML实例任何Ruby对象的...这是复杂，但适用于所有的应用程序（当然，除了修补一个，和Rails 1.X），甚至可以执行系统命令...

任何具有Rails应用周围应该已经升级......如果不是， 现在做！