Rails 3.2.11にアップデートしましょう

Ruby on Rails 3.2.11がリリースされました。

3.2.10が出てから数日ですが、合わせてかなり重大なセキュリティFIXが含まれているので、確実に更新しましょう。

3.2.11での変更点 (1)

URLを知っている人だけがアクセスできる隠しページや、パスワードリセット機能などで、token認証をすることがよくあります。
たとえば以下のようなコードです。

if params[:token]
  @user = User.find_by_token(params[:token])
end

ここで、仮にparams[:token]が空のハッシュ {} の場合、if文は当然真と評価されて通過しますが、find_by_tokenの部分は条件無しと見なされます。

User.find_by_token({})
User.where(:token => {})

このようなコードは、whereが無いものとしてSQLに展開されます。

RailsではPOST時のHTTPヘッダにContent-Type: application/jsonを指定すれば任意のハッシュを渡すことができるため、簡単に任意のuserを取得させることができてしまいます。
非常に危険ですね(゜Д゜)

3.2.11では、空Hashがwhere条件に指定された場合、該当無し(WHERE 1=2)に展開されるように変更されました。

3.2.11での変更点 (2)

Hash.from_xmlでは、XMLで

<foo type=”symbol”>value</foo>

のような指定をすると、シンボルにデコードされます。
ActiveSupportやActiveRecordなどで、シンボルはオプション指定に解釈されることが多く、任意のオプションを指定されてしまう恐れがあります。

3.2.11では、Hash.from_xmlがsymbolやyamlの型指定を受け付けないようになりました。
特別な理由により必要な場合(設定ファイルをこのメソッドで読み込んでいるなど)は、Hash.from_trusted_xmlを使うことができます。

3.2.10での変更点

以下のようなコードで

class UsersController < ApplicationController
  def show
    @user = User.find_by_name(params[:name])
  end
end

/users/name[limit]=1 のようなURLにアクセスすると、extract_options!の作用により

User.find_by_name(nil, :limit => 1)

と解釈され、SQLインジェクションが成立します。

3.2.10では、dynamic_finderで引数個数がチェックされることになりました(引数が足りないとオプションとは解釈されません)。
なお、Rails 4ではこのdynamic finder自体がDEPRECATEDで、find_byメソッドになっているので合わせてご注意ください。

Ruby on RailsによるWEBシステム開発、Android/iPhoneアプリ開発、電子書籍配信のことならお任せください この記事を書いた人と働こう! Ruby on Rails の開発なら実績豊富なBPS

この記事の著者

baba

ゆとりプログラマー。 高校時代から趣味でプログラミングを初め、そのままコードを書き続けて現在に至る。慶應義塾大学環境情報学部(SFC)卒業。BPS設立初期に在学中から参加している最古参メンバーの一人。得意分野はWeb全般、Ruby on Rails、Androidアプリケーションなど。最近はBlinkと格闘中。軽度の資格マニアで、情報処理技術者試験(高度10区分)などを保有。

babaの書いた記事

週刊Railsウォッチ

インフラ

BigBinary記事より

ActiveSupport探訪シリーズ