Die Macher des Webframeworks Ruby on Rails haben ein SQL-Injection-Problem beseitigt.
Betroffen davon sind alle Versionen ab 3.00 und später. Die Version 2.3.14 hat das Problem nicht. Die gefixten Ausgaben hören auf die Nummern 3.2.4, 3.1.5, 3.0.13.
Die Lücke ist unter CVE-2012-2661 gelistet. Ein Fehler in der Anfrageverarbeitung von Active Record machte es Angreifern möglich, Code einzuschleusen. Details liefern die Entwickler in ihrer Mailingliste. Dort ist auch ein Workaround beschrieben.





