<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 22, 2014 at 10:14 AM, Michael Stahnke <span dir="ltr">&lt;<a href="mailto:stahnma@puppetlabs.com" target="_blank">stahnma@puppetlabs.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">After a very long period of neglect, (sorry), I worked on updating the rails stack in EPEL5 to 2.3.18. This includes activesupport, activerecord and actionpack thus far. Rails still to come. <div><br></div><div>Moving from 2.1.x to 2.3.x *should* be a clean upgrade, but I know in some cases it&#39;s not, as some security fixes required minor behavioral changes. </div><div><br></div><div>I&#39;d appreciate karma and feedback here if anybody is still using this old stack on EPEL5.</div><div><br></div><div><br></div><div><a href="https://admin.fedoraproject.org/updates/rubygem-actionpack-2.3.18-1.el5,rubygem-activerecord-2.3.18-1.el5,rubygem-activesupport-2.3.18-1.el5?_csrf_token=11f945c29f20072b1ae91f5b343b10334ab92758" target="_blank">https://admin.fedoraproject.org/updates/rubygem-actionpack-2.3.18-1.el5,rubygem-activerecord-2.3.18-1.el5,rubygem-activesupport-2.3.18-1.el5?_csrf_token=11f945c29f20072b1ae91f5b343b10334ab92758</a><br></div><div><br></div><div>The bugs and CVEs addressed are plentiful. </div><div><ul style="color:rgb(79,79,79);font-family:liberation,veranda,sans-serif;font-size:13px"><li>Bug 1095122 - CVE-2014-0130</li><li>Bug 1095125 - CVE-2014-0130</li><li>Bug 677626 - CVE-2011-0446</li><li>Bug 677629 - CVE-2011-0446, CVE-2011-0447</li><li>Bug 677631 - CVE-2011-0447</li><li>Bug 731435 - CVE-2011-2932</li><li>Bug 731438 - CVE-2011-2930</li><li>Bug 731450 - CVE-2011-2932</li><li>Bug 731453 - CVE-2011-2930</li><li>Bug 744706 - CVE-2010-3933</li><li>Bug 831583 - CVE-2012-2695</li><li>Bug 843924 - CVE-2012-3424</li><li>Bug 847202 - CVE-2013-0156</li><li>Bug 891468 - CVE-2012-5664</li><li>Bug 905373 - CVE-2013-0333</li><li>Bug 921329 - CVE-2013-1854</li><li>Bug 924297 - CVE-2013-1855, CVE-2013-1857</li><li>Bug 924318 - CVE-2013-1854</li><li>Bug 948706 - CVE-2013-0276</li></ul></div></div></blockquote><div><br></div><div><a href="https://admin.fedoraproject.org/updates/rubygem-rails-2.3.18-1.el5,rubygem-actionmailer-2.3.18-1.el5,rubygem-activeresource-2.3.18-1.el5?_csrf_token=2d38be86ac50ac79b7baa258fde12a02b58bf46d">https://admin.fedoraproject.org/updates/rubygem-rails-2.3.18-1.el5,rubygem-actionmailer-2.3.18-1.el5,rubygem-activeresource-2.3.18-1.el5?_csrf_token=2d38be86ac50ac79b7baa258fde12a02b58bf46d</a> is the update I made tonight that contains rails, activeresource and actionmailer. </div><div><br></div><div>Hopefully these updates all go through and we have a more secure rails stack in epel5. </div><div><br></div><div>Karma appreciated.  </div></div><br></div></div>