Updates für Ruby on Rails schließen Sicherheitslücke

Die neuen Versionen 3.0.1 und 2.3.10 des Webframeworks Ruby on Rails stopfen eine bei der Verarbeitung von verschachtelten Attributen aufgetretene Sicherheitslücke. Diese trat beim Verwenden von accepts_nested_attributes_for auf. Eine Anwendung, die accepts_nested_attributes_for nicht nutzte oder bei der eine frühere Version als Ruby 2.3.9 zum Einsatz kam, sind von dem Konflikt nicht betroffen. Wo das Problem auftritt, können Angreifer Formulareingaben manipulieren und Änderungen in den Systemeinträgen vornehmen. Anwendern der betroffenen Version legen die Rails-Entwickler nahe, ihre Anwendungen unmittelbar auf die neuen Releases zu aktualisieren. (ane)