Falha de segurança nos headers HTTP do Rails

Recebi um e-mail da lista de segurança do Rails (caramba, nem lembrava que tinha assinado) dizendo as bibliotecas HTTP do Ruby não fazem um “sanitize” nos cabeçalhos HTTP.

Portanto, o Rails está vulnerável a ataques de Response Splitting e Header Injection sob certas circunstâncias (tb não é festa do caqui, né?)

Um cenário onde o problema pode acontecer é quando você recupera uma URL de algum parâmetro que o usuário passa e redireciona ele para lá.

Versões que conterão os fixes para o problema: 2.0.5, 2.1.2 e 2.2.0

Se o bicho estiver pegando e você precisar de um patch antes que essas versões sejam liberadas, você pode usar esses links: 2.0.x, 2.1.x e edge (se antes da revisão ba80ff74a962)