[Lien original]

Cette version supprime une vulnérabilité JSON XSS, corrige une paire de régressions mineures introduites dans la 1.2.4, et backporte une poignée de fonctionnalités et corrections de la version 2.0 preview.

Il est recommandé à tous les utilisateurs de Rails 1.2.4 ou version inférieure d’installer la 1.2.5, bien que ce ne soit pas strictement nécessaire si vous n’utilisez pas JSON. Pour plus d’informations sur la vulnérabilité JSON, voir CVE-2007-3227 (NdT: lien).

Résumé des changements:

• acts_as_list: correction d’un cas limite générant un positionnement d’élément incorrect lorsqu’on supprime cet élément de la liste puis qu’on le détruit immédiatement après
• dépréciation de l’appel .create sur les associations has_many ayant un parent non encore sauvé; par exemple: post = Post.new; post.comments.create
• backport des paramètres de requêtes tableau et hash
• correction de la setter action de in place editor en cas d’utilisation de champs autres que des chaînes de caractères
• mise à jour de config/boot.rb afin qu’il reconnaisse correctement RAILS_GEM_VERSION

Pour mettre à jour, `gem install rails`, mettre RAILS_GEM_VERSION à ‘1.2.5’ dans config/environment.rb, et ensuite `rake rails:update:configs`.

Traduction de Rails 1.2.4: Maintenance release par dhh.

Comme annoncé, cette version contient les notifications de dépréciation, les réparations des trous de sécurité et quelques améliorations des performances. Il est conseillé de passer à cette version pour tous les utilisateurs de la 1.2.3.

Avertissements de dépréciation

Si vous prévoyez de passer à la version 2.0, vous devez lancer vos tests et corriger les erreurs qui sont affichées. Les avertissements présent dans la 1.2.4 deviendront des erreurs dans la version 2.0.

Si vous utilisez des routes RESTful, faites spécialement attention au changement dans la génération et la reconnaissance des routes. L’usage des point-virgules a été remplacé par les slash (/). Par exemple /person/1;edit devient /person/1/edit. Ce changement est dû à différentes librairies (dont mongrel) qui traitaient les point-virgules comme des séparateurs de chaines de requête et à certain navigateurs et librairies http qui l’interprétaient mal.

Les URLs basées sur les point-virgules continueront à être reconnues bien qu’elles ne seront plus générées.

Améliorations de sécurité

La version 1.2.4 corrige quelques problèmes de sécurité potentiels:

• Le support pour les sessions basées sur les url a été supprimé dans le but de réduire les attaques par réparation de session
• Les algorithmes d’encodage de JSON ont été changés pour éviter les problèmes XSS potentiels en utilisant ActiveRecord::Base#to_json
• Les problèmes de sécurité et de performance potentiels avec XmlSimple ont été corrigés en supprimant certianes options dangereuse par défaut.

Vous pouvez mettre à jour avec la commande standard gem install rails . Rails 1.2.4 sert de remplacement temporaire à 1.2.3.

MIS A JOUR : 04/10/07

DHH annonçait hier sur le blog Riding Rails la sortie prochaine de Rails 2. La version de prévisualisation est d’hors et déjà disponible. David annonce qu’il y aura deux ou trois RC avant la sortie de Rails 2.

Comme annoncé lors de la Railsconf, une version 1.2.4 contenant les “deprecation warning” relatif à la version 2 sera publiée la veille de la sortie de cette dernière.

Mais le plus intéressant dans ce billet est la présentation officielle des fonctionnalités présentes dans la nouvelle version de Rails.

Nous venons de publier une version traduite en français de l’article de dhh.

En attendant, vous pouvez déjà essayer Rails 2 en preview:

svn co http://svn.rubyonrails.org/rails/tags/rel_2-0-0_PR