いつもより早めの公開です。
Rails 6.0.3.2セキュリティアップデート
Link in the blog appear to be broken for me. https://t.co/XGd2MwVS2t directs to the CVE-2020-8185
— Dave Kimura (@kobaltz) June 17, 2020
- アナウンス: Rails 6.0.3.2 has been released! | Riding Rails
- リポジトリの
v6.0.3.2タグ: Commits · rails/rails
Rails 6.0.xが対象です。
- 6/11の修正commit: Only allow ActionableErrors if show_detailed_exceptions is enabled · rails/rails@2121b9d
例外の詳細を表示しなければならないようカスタマイズしたいときはこのメソッドをオーバーライドする。このメソッドは
consider_all_requests_localがfalseの場合にのみ呼び出される。デフォルトではfalseを返すが、これをrequest.local?に設定すればproductionでのローカルリクエストに詳しい例外ページを表示することが可能。
APIドキュメントより大意
なお、現時点ではCVE-2020-8185は"RESERVED"になっており、具体的な記述はこれからのようです。
puma、rack、websocket-extensions gemにも別途セキュリティアップデート
こちらは上のRailsセキュリティアップデートとは別の情報です。私がオレオレRailsアプリをホスティングしているHerokuで無料で使えるSqreen.comというセキュリティチェックサービス↓から昨日アラートメールを受け取りました。
それによると、オレオレアプリ(Rails 5.2.4.3)で使われているpuma、rack、websocket-extensions gemが脆弱とのことでした↓。これらのgemをアップデートして対応しました。pumaは5月に修正が出ていたんですね。
puma
- リポジトリ: puma/puma: A Ruby/Rack web server built for concurrency
- 4.3.4と3.12.5に脆弱性、最新は4.3.5と3.12.6
- CVE-2020-11076、CVE-2020-11077
- 5/20の修正コミット(4.3.5): Reduce ambiguity of headers · puma/puma@f3b409c
- 5/20修正コミット(3.12.6): Reduce ambiguity of headers · puma/puma@089df07
rack
- rack/rack: A modular Ruby web server interface.
- 2.2.2に脆弱性、最新は2.2.3
- CVE-2020-8184 -- "RESERVED"につき詳細なし
- 6/13の修正コミット: When parsing cookies, only decode the values · rack/rack@5ccca47
websocket-extensions
- リポジトリ: faye/websocket-extensions-ruby: Generic extension management for WebSocket connections
- 0.1.4に脆弱性、最新は0.1.5
- CVE-2020-7663
- 6/2の修正コミット: Remove ReDoS vulnerability in the Sec-WebSocket-Extensions header parser · faye/websocket-extensions-ruby@aa156a4
以上は私の環境での観測範囲なので、まだの方はbundler-auditなどで各自の環境のセキュリティ情報を確認しましょう。