Ruby on Rails セキュリティ修正8.0.0.1/7.0.8.7/7.1.5.1/7.2.2.1がリリースされました。Rails 8がリリースされて最初のセキュリティ修正です。
それそれのバージョンに2件のセキュリティ修正が行われました。1件はAction Pack、もう1件はTrixが対象です。
英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。
- Release 8.0.0.1 · rails/rails(日本時間2024/12/11 06:45)
- Release 7.2.2.1 · rails/rails(日本時間2024/12/11 06:41)
- Release 7.1.5.1 · rails/rails(日本時間2024/12/11 06:25)
- Release 7.0.8.7 · rails/rails(日本時間2024/12/11 06:21)
詳しくは以下のコミット差分リストをご覧ください。
- Comparing v8.0.0...v8.0.0.1 · rails/rails
- Comparing v7.2.2...v7.2.2.1 · rails/rails
- Comparing v7.1.5...v7.1.5.1 · rails/rails
- Comparing v7.0.8.6...v7.0.8.7 · rails/rails
🔗 セキュリティ修正の概要
2件のセキュリティ問題が修正されました。
なお、セキュリティ関連のトピックは以下のRuby on Rails Discussionsのsecurityトピックで一覧できます。
参考: Latest security topics - Ruby on Rails Discussions
🔗 1. [CVE-2024-54133] Possible Content Security Policy bypass in Action Dispatch - Security Announcements - Ruby on Rails Discussions
詳しくは上の情報を参照してください。
- 影響を受けるAction Packバージョン
- actionpack >= 5.2.0, < 7.0.8.7
actionpack >= 7.1.0, < 7.1.5.1
actionpack >= 7.2.0, < 7.2.2.1
actionpack >= 8.0.0, < 8.0.0.1 - 修正済みバージョン
- actionpack 7.0.8.7
actionpack 7.1.5.1
actionpack 7.2.2.1
actionpack 8.0.0.1
また、すぐにアップグレードできない事情がある場合用に以下のパッチも公開されています。
🔗 XSS vulnerabilities on copy & paste · Advisory · basecamp/trix
こちらはTrixの修正です。詳しくは上の情報を参照してください。
- 影響を受けるTrixバージョン
- trix >=2.0.0, < 2.1.9
trix >= 1.0.0, < 1.3.2 - 修正済みTrixバージョン
- trix 2.1.9
trix 1.3.3
関連記事
Railsセキュリティ修正がリリースされました: 7.2.1.1 / 7.1.4.1 /7.0.8.5 / 6.1.7.9
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)