オープンソースWebアプリケーション・フレームワーク「Ruby on Rails」の開発コミュニティは現地時間2009年11月30日,最新版「2.3.5」をリリースしたと発表した。1件のセキュリティ修正と数件のバグ修正を施した。旧版2.3.xとの互換性を維持しており,Ruby用パッケージ管理ツール「RubyGems」を使うと簡単にアップデートできるという。

 最新版で「strip_tags」関数のセキュリティ問題を直した。この問題は制御用ascii文字を処理する「HTML::Tokenizer」内に存在し,strip_tags使用アプリケーションと「Internet Explorer(IE)」の組み合わせでクロスサイト・スクリプティング(XSS)攻撃に対するぜい弱性を生じさせていた。また,バグ修正でスクリプト言語「Ruby 1.9」に対する互換性を高めた。

 最新版は「RailsXss」プラグインに対応し,XSS攻撃回避のために行うHTMLデータのエスケープ処理が自動実行できるようになった。さらに,XMLパーサー「Nokogiri」の使用にともなうバグを修正した。

 Ruby on Railsは,Hansson氏が開発したWebアプリケーション・フレームワーク。ネットワーク応用通信研究所のまつもとゆきひろ氏が開発したスクリプト言語Rubyで記述している。ネーミング・ルールに沿って変数名などを使用すれば,標準的なデータベース・アクセス・プログラムや検索機能,更新画面を自動的に生成できる。簡単なWebアプリケーションであれば,プログラムを書かずに生成することも可能(関連記事:人気沸騰のWebアプリ・フレームワーク「Ruby on Rails」)。

[開発コミュニティ公式ブログへの投稿記事]