A serious security concern in Ruby on Rails has forced the Rails team to come up with release 1.1.5, without waiting for the scheduled release of 1.2. Una grave preocupación en materia de seguridad en Ruby on Rails ha obligado a las Rails equipo para llegar a la liberación 1.1.5, sin esperar a que la liberación prevista de 1,2.

David from Ruby on Rails team says: David de Ruby on Rails equipo dice:
This is a MANDATORY upgrade for anyone not running on a very recent edge (which isn’t affected by this). Se trata de una actualización OBLIGATORIO para cualquier persona no se ejecuta en un borde muy reciente (que no se ve afectado por esto). If you have a public Rails site, you MUST upgrade to Rails 1.1.5. Si usted tiene un sitio público Rails, usted DEBE actualizar a 1.1.5 Rails. The security issue is severe and you do not want to be caught unpatched. El problema de seguridad es grave y usted no quiere ser capturado unpatched.

So upgrade today, not tomorrow. Por lo tanto, la actualización de hoy, no mañana. We’ve made sure that Rails 1.1.5 is fully drop-in compatible with 1.1.4. Hemos hecho seguro de que Rails 1.1.5 es plenamente drop-in compatible con 1.1.4. It only includes a handful of bug fixes and no new features. Sólo se incluye un puñado de correcciones de errores y no nuevas características.

For the third time: This is not like “sure, I should be flossing my teeth”. Por tercera vez: Esto no es como "seguro, debe ser el uso de hilo dental mis dientes". This is “yes, I will wear my helmet as I try to go 100mph on a motorcycle through downtown in rush hour”. Esto es "sí, voy a usar mi casco así que intento ir a 100 mph en una motocicleta a través del centro en hora punta". It’s not a suggestion, it’sa prescription. No es una sugerencia, es una receta. So get to it! Por ello, ¡a él!
via a través de

What amuses me is that with such serious tone any would-be hackers would be curious enough to diff the two versions as source code is available. Lo que me divierte es que con tan graves cualquier tono a los posibles piratas informáticos se curiosidad de diff las dos versiones en código fuente está disponible. So not revealing the vulnerability isn't doing anyone any good. Por lo tanto, no revelando la vulnerabilidad no está haciendo ningún bien a nadie.

This problem does not affect Rails 1.0 or earlier. Este problema no afecta a 1,0 Rails o antes. The only versions affected are 1.1.0, 1.1.1, 1.1.2, and 1.1.4. Los únicos afectados son las versiones 1.1.0, 1.1.1, 1.1.2, y 1.1.4.