Ruby on Railsの3.2.16、4.0.2が12月3日(現地時間)に配布された。クロスサイトスクリプティング(XSS)とDoS攻撃の脆弱性を修正するセキュリティアップデート版で、すみやかにアップグレードするよう求めている

3.2.16では、過去のバージョンで見つかった4つの脆弱性(CVE-2013-4491、CVE-2013-6415、CVE-2013-6414、CVE-2013-6417)を修正している。このうち前2者がXSSの脆弱性に関するもので、3つめがDoS攻撃、4つめは過去に修正された脆弱性(CVE-2013-0155)を迂回できる脆弱性となる。

4.0.2では、これらに加え、さらにもう1つのXSS脆弱性(CVE-2013-6416)を加えた5つの脆弱性を修正している。

Railsは、Ruby向けのアプリケーション開発フレームワーク。Hulu、Scribd、GitHubといった大規模サイトでも利用されている。6月にはRailsの脆弱性を悪用したボットネットも見つかっていた。