http://itpro.nikkeibp.co.jp/article/NEWS/20060810/245599/
http://weblog.rubyonrails.org/2006/8/9/rails-1-1-5-mandatory-security-patch-and-other-tidbits

いつぞやのPHPのように、「security updateしたと思ったらまた、security update」のようにならないといいな...
active recordだけを使うのならともかく、railsを使ったアプリケーションの運用が、今後、どのくらい手間がかかるものになるのかは気になる点かも。

(追記) なんだ？　早くも1.1.6が出てるぢゃん。1.1.5は部分的なfixに過ぎなかったらしい。

http://weblog.rubyonrails.org/2006/8/10/rails-1-1-6-backports-and-full-disclosure

バグフィックスはrouting codeまわりらしい。まぁ、そのヘンしかないでしょうね。あと1.1.xのそれぞれのバージョンに対するpatchも出てる。