Rails のこの更新により、以下のセキュリティ問題が修正されます。

CVE-2011-2930 - 特別に細工された列名による quote_table_name 関数での SQL インジェクション（bnc#712062） CVE-2011-2931 - strip_tags ヘルパーでのクロスサイトスクリプティング（XSS）（bnc#712057） CVE-2011-3186 - 応答分割（bnc#712058） CVE-2010-3933 - 特別に細工されたフォームパラメータを介したレコードの任意の変更（bnc#712058） CVE-2011-0446 - mail_to ヘルパーでのクロスサイトスクリプティング（XSS）（bnc#668817） CVE-2011-0447 -「X-Requested-With」ヘッダーの不適切な検証（bnc#668817） CVE-2011-0448 - limit 機能に対して不適切にサニタイズされた引数により引き起こされる SQL インジェクション（bnc#668817） CVE-2011-0449 - 特別に細工されたアクション名を介したアクセス制限のバイパス（bnc#668817）

セキュリティの修正（CVE-2011-0446、CVE-2011-0447）

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

リモートホストは、GLSA-201412-28 で説明されている脆弱性の影響を受けます（Ruby on Rails：複数の脆弱性）

Ruby on Rails で複数の脆弱性が発見されました。詳細については、以下で参照されている CVE 識別子をレビューしてください。
 影響：

リモートの攻撃者が、任意のコードを実行すること、またはサービス拒否を起こすことがあります。さらに、リモートの攻撃者が任意の SQL コマンドを実行したり、フォーム入力のパラメーター名を変更してシステム内の任意のレコードを変更したり、意図されたアクセス制限をバイパスしたり、任意の表示をレンダリングしたり、任意の Web スクリプトまたは HTML を注入したり、クロスサイトリクエスト偽造（CSRF）攻撃を実行したりする可能性があります。
 回避策：

現時点で、既知の回避策はありません。

いくつかの脆弱性が、Ruby Web アプリケーションフレームワークの Rails で発見されています。Common Vulnerabilities and Exposuresプロジェクトは次の問題を特定しています：

  - CVE-2011-0446 JavaScript エンコーディングが使用される際の複数のクロスサイトスクリプティング（XSS）の脆弱性のために、リモートの攻撃者が任意の Web スクリプトまたは HTML を注入する可能性があります。

  - CVE-2011-0447 Rails が X-Requested-With ヘッダーを含む HTTP リクエストを適切に検証しないために、リモートの攻撃者がクロスサイトリクエスト偽造（CSRF）攻撃を容易に実行できます。

Rails 3.0.5 に更新してください

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
75730	openSUSE セキュリティ更新：rubygem-actionmailer （openSUSE-SU-2011:1305-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/14	high
76016	openSUSE セキュリティ更新：rubygem-actionmailer （openSUSE-SU-2011:1305-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high
52557	Fedora 13：rubygem-actionpack-2.3.5-4.fc13（2011-2138）	Nessus	Fedora Local Security Checks	2011/3/7	2021/1/11	medium
79981	GLSA-201412-28：Ruby on Rails：複数の脆弱性	Nessus	Gentoo Local Security Checks	2014/12/15	2021/1/6	critical
55035	Debian DSA-2247-1：rails - いくつかの脆弱性	Nessus	Debian Local Security Checks	2011/6/10	2021/1/4	medium
52556	Fedora 14：rubygem-actionpack-2.3.8-3.fc14（2011-2133）	Nessus	Fedora Local Security Checks	2011/3/7	2021/1/11	medium
53299	Fedora 15：rubygem-actionmailer-3.0.5-1.fc15 / rubygem-actionpack-3.0.5-1.fc15 / etc（2011-4358）	Nessus	Fedora Local Security Checks	2011/4/6	2021/1/11	high

検出

プラグインの検索

high

high

medium

critical

medium

medium

high