Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Railsセキュリティ修正7.0.4.3、6.1.7.3がリリースされました

Ruby on Rails セキュリティ修正7.0.4.3、6.1.7.3がリリースされました。

英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。

詳しくは以下のコミットリストをご覧ください。

🔗 セキュリティ修正の概要

セキュリティ修正に関する情報は、discuss.rubyonrails.orgのsecurity-announcementsタグで一覧できます↓。

参考: Latest Security Announcements topics - Ruby on Rails Discussions

🔗 1. [CVE-2023-23913] DOM Based Cross-site Scripting in rails-ujs for contenteditable HTML Elements - Security Announcements - Ruby on Rails Discussions

上のリンク先で詳細を参照できます。パッチも提供されています。

影響を受ける過去のRailsバージョン
5.1.0以降
影響を受けない過去のRailsバージョン
5.1.0未満
修正済みバージョン
6.1.7.3、7.0.4.3

rails/rails-ujs - GitHub

🔗 2. [CVE-2023-28120] Possible XSS Security Vulnerability in SafeBuffer#bytesplice - Security Announcements - Ruby on Rails Discussions

上のリンク先で詳細を参照できます。パッチも提供されています。

影響を受ける過去のRailsバージョン
すべて
影響を受けない過去のRailsバージョン
なし
修正済みバージョン
7.0.4.3, 6.1.7.3

参考: Rails API ActiveSupport::SafeBuffer


TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)

関連記事

Rails 7.0.4.2、6.1.7.2修正がリリースされました

Railsセキュリティ修正7.0.4.1、6.1.7.1、6.0.6.1がリリースされました


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。