Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Railsセキュリティ修正6.0.4.1と6.1.4.1 がリリースされました

Ruby on Rails セキュリティ修正6.0.4.1と6.1.4.1がリリースされました。

英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。v6.0.4.1タグの日付は日本時間の2020/08/20 1:15、v6.1.4.1は2020/08/20 1:25でした。

詳しくは以下のコミットとRuby on Rails Discussionsのトピックをご覧ください。

🔗 セキュリティ修正の概要

セキュリティ修正は1件です。

🔗 1. CVE-2021-22942 ActionDispatch::HostAuthorizationミドルウェアでオープンリダイレクトの可能性

影響

特殊な細工を施されたX-Forwarded-Hostヘッダーと特定の”allowed host”フォーマットが組み合わさることで、Action PackのHostAuthorizationミドルウェアによってユーザーが悪意のあるWebサイトにリダイレクトされる可能性があります。

“allowed host”の先頭にドットが付加されているアプリケーションが影響を受けます。たとえば設定ファイルに以下があるとします。

config.hosts <<  '.EXAMPLE.com'

“allowed host”の先頭にドットが付加されていると、特殊な細工を施されたヘッダーを用いて悪意のあるWebサイトにリダイレクトされる可能性があります。
この脆弱性はCVE-2021-22881と似ていますが、CVE-2021-22881ではドメイン名の大文字小文字の区別は考慮されていませんでした。
discuss.rubyonrails.orgより

影響を受けるRailsバージョン
Rails 6.0.0以降
影響を受けないRailsバージョン
Rails 6.0.0未満
修正済みバージョン
Rails 6.0.4.1および6.1.4.1
パッチ
discuss.rubyonrails.orgにあり

TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)

関連記事

Rails 6にDNSリバインディング攻撃防止機能が追加された(翻訳)

Railsセキュリティ修正6.1.3.2/6.0.3.7/5.2.4.6/5.2.6がリリースされました


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。