- Ruby / Rails関連
READ MORE
いつもより早めの公開です。
Link in the blog appear to be broken for me. https://t.co/XGd2MwVS2t directs to the CVE-2020-8185
— Dave Kimura (@kobaltz) June 17, 2020
v6.0.3.2
タグ: Commits · rails/railsRails 6.0.xが対象です。
例外の詳細を表示しなければならないようカスタマイズしたいときはこのメソッドをオーバーライドする。このメソッドは
consider_all_requests_local
がfalseの場合にのみ呼び出される。デフォルトではfalseを返すが、これをrequest.local?
に設定すればproductionでのローカルリクエストに詳しい例外ページを表示することが可能。
APIドキュメントより大意
なお、現時点ではCVE-2020-8185は”RESERVED”になっており、具体的な記述はこれからのようです。
こちらは上のRailsセキュリティアップデートとは別の情報です。私がオレオレRailsアプリをホスティングしているHerokuで無料で使えるSqreen.comというセキュリティチェックサービス↓から昨日アラートメールを受け取りました。
それによると、オレオレアプリ(Rails 5.2.4.3)で使われているpuma、rack、websocket-extensions gemが脆弱とのことでした↓。これらのgemをアップデートして対応しました。pumaは5月に修正が出ていたんですね。
以上は私の環境での観測範囲なので、まだの方はbundler-auditなどで各自の環境のセキュリティ情報を確認しましょう。