Rails 3.2.12がリリースされました

Ruby on ails 3.2.12がリリースされました。詳細

環境によっては重大なセキュリティFIXが含まれているので、必ず確認しましょう。

修正された脆弱性

attr_protectedの脆弱性が修正されました。

attr_protectedは、POSTパラメータなどから一括で値をセットする際に、許可しないカラムをブラックリスト登録する機能です。
たとえばユーザ情報を編集する際、is_adminというカラムをユーザが(POSTパラメータをいじって)勝手に上書きしたら、非常にまずいですよね。

class User < ActiveRecord::Base
  attr_protected :is_admin
end

このようにattr_protectedを使えば、ユーザがPOSTパラメータでis_admin=1を渡したとしても、無視されます(以下のような警告がログに出力されます)。

WARNING: Can’t mass-assign protected attributes: is_admin

is_adminという名前がどうのというのは置いておいて

ところが3.2.11以前のattr_protectedには脆弱性があり、カラム名に改行を含むとチェックを回避することができます

$ bundle exec rails c
> user = User.new
> user.attributes = { :name => 'john', :is_admin => 1 }
WARNING: Can't mass-assign protected attributes: is_admin
> user.attributes
=> {"name"=>"john", "is_admin"=>nil}

> user.attributes = { :name => 'john', "\nis_admin" => 1 }
> user.attributes
=> {"name"=>"john", "is_admin"=>1}

簡単に回避できてしまいました。
attr_protectedを使っているプロジェクトでは、すぐにアップデートしましょう。

なお現在では、attr_protected(ブラックリスト)ではなくattr_accessible(ホワイトリスト)方式の利用が推奨されています。
config/application.rbにconfig.active_record.whitelist_attributes = trueの記述がある場合(3.2.3以降ではデフォルトでついているはずです)、この脆弱性の影響は受けません。

※3.1系では3.1.11が対応バージョンになります。

Ruby on RailsによるWEBシステム開発、Android/iPhoneアプリ開発、電子書籍配信のことならお任せください この記事を書いた人と働こう! Ruby on Rails の開発なら実績豊富なBPS

この記事の著者

baba

ゆとりプログラマー。 高校時代から趣味でプログラミングを初め、そのままコードを書き続けて現在に至る。慶應義塾大学環境情報学部(SFC)卒業。BPS設立初期に在学中から参加している最古参メンバーの一人。得意分野はWeb全般、Ruby on Rails、Androidアプリケーションなど。最近はBlinkと格闘中。軽度の資格マニアで、情報処理技術者試験(高度10区分)などを保有。

babaの書いた記事

週刊Railsウォッチ

インフラ

Rubyスタイルガイドを読む

BigBinary記事より

ActiveSupport探訪シリーズ