Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Railsセキュリティ修正6.0.4.4/6.1.4.4がリリースされました

Ruby on Rails セキュリティ修正6.0.4.4/6.1.4.4がリリースされました。

当初は6.0.4.2/6.1.4.2/7.0.0.rc2がリリースされましたが、localhost:3000でアクセスできない問題(#43865)があったので6.0.4.3/6.1.4.3/7.0.0.rc3がリリースされました。しかしlvh.me:3000のようにポート番号を指定できない問題(#43864)があったので、最終的に6.0.4.4/6.1.4.4がリリースされました。

Rails 7.0.0.rc2および7.0.0.rc3については、これらの修正を含むRails 7.0.0最終版がリリースされましたので、以下の記事をご覧ください。

Rails 7.0.0がリリースされました

リリースタグは以下です。

コミットの比較は以下です。

🔗 セキュリティ修正の概要

🔗 Possible Open Redirect in Host Authorization Middleware - Security Announcements - Ruby on Rails Discussions

詳しくは上のリンクをご覧ください。

以下のようにドットで始まるホストをコンフィグのconfig.hostsで許可すると、悪意のあるX-Forwarded-HostによってAction PackのHost Authorizationミドルウェアがユーザーを悪意のあるWebサイトにリダイレクトする可能性があります。

config.hosts << '.EXAMPLE.com'
影響を受けるRailsバージョン
Rails 6.0.0以降
影響を受けないRailsバージョン
Rails 5.x以前
修正済みバージョン
6.1.4.2以降、6.0.4.2以降、7.0.0.rc2以降

修正用パッチ

アップグレードができない場合に用いるパッチです。


TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)

関連記事

Railsセキュリティ修正6.0.4.1と6.1.4.1 がリリースされました


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。