Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Rails 6/5とRubyのJSON gem向けセキュリティ修正がリリース

当初同じ内容かなと思ったら、RailsとJSON gemのセキュリティ修正は別物でした。

Railsセキュリティ修正

影響を受ける可能性があるのはActionViewヘルパーのescape_javascriptメソッドとそのエイリアスであるjメソッドとのことです。変更点を見た限りでは、バッククォートと$がエスケープされていなかったのを修正したようです。

RubyのJSON gemセキュリティ修正

Rubyそのものではなく、RubyにバンドルされているJSON gemの追加修正です。以下のバージョンが影響を受ける可能性があるとのことです。昨年12月12日にリリースされたJSON gem 2.3.0(Ruby 2.0以降が対象)では修正済みとのことなので、この日より後にJSON gemを2.3.0にアップデートしたかどうかをチェックしてみましょう。

  • JSON gem 2.2.0およびそれ以前のバージョン

おまけ: Rails 5アプリをアップグレードした

オレオレRailsアプリを5.2.4.1から5.2.4.2にアップグレードしました。

アプリのJSON gemは既に2.3.0になっていたのでこちらは変更しませんでした。

  • GemfileでRailsバージョンを5.2.4.2に変更

  • bundle installを実行

実際はbundle installすると依存関係でいくつかつっかかったので以下を実行しました。これはアプリによって異なると思います。

$ bundle update activemodel actionpack railties activerecord

関連記事

Railsアプリで実際にあった5つのセキュリティ問題と修正方法(翻訳)


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。