Во всех версиях Ruby on Rails 1.1.x обнаружена серьезная проблема безопасности, дающая возможность удаленному злоумышленнику через подстановку данных в URL запустить свой код на сервере.

Подробности пока держатся в секрете, но разработчики оценивают уровень проблемы как экстремально серьезный, рекомендуя немедленное обновление до версии 1.1.6 (в 1.1.5 проблема не была полностью устранена). Обновление может вызвать проблемы с работой некоторых нестандартных дополнений к Ruby on Rails.

Подробности методики взлома описаны здесь.

Те, кто не имеет возможности провести немедленное обновление, для устранения уязвимости могут использовать следующее правило mod_rewrite:

RewriteRule ^(app|components|config|db|doc|lib|log|public|script|test|tmp|vendor)/ - [F]