Ruby on Rails セキュリティ修正6.0.4.1と6.1.4.1がリリースされました。
Hi everybody! Rails 6.0.4.1 and 6.1.4.1 have been released! This is a security release and you can read about it here: https://t.co/DkpzQne8Kp Have a great day!! 🤗❤️
— Ruby on Rails (@rails) August 19, 2021
英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。v6.0.4.1タグの日付は日本時間の2020/08/20 1:15、v6.1.4.1は2020/08/20 1:25でした。
詳しくは以下のコミットとRuby on Rails Discussionsのトピックをご覧ください。
- コミット: Prevent open redirect when allowed host starts with a dot · rails/rails@83a6ac3
- コミット: Refactor CVE-2021-22881 fix · rails/rails@9fe57c0
- [CVE-2021-22942] Possible Open Redirect in Host Authorization Middleware - Security Announcements - Ruby on Rails Discussions
🔗 セキュリティ修正の概要
セキュリティ修正は1件です。
🔗 1. CVE-2021-22942 ActionDispatch::HostAuthorizationミドルウェアでオープンリダイレクトの可能性
影響
特殊な細工を施された
X-Forwarded-Hostヘッダーと特定の"allowed host"フォーマットが組み合わさることで、Action PackのHostAuthorizationミドルウェアによってユーザーが悪意のあるWebサイトにリダイレクトされる可能性があります。"allowed host"の先頭にドットが付加されているアプリケーションが影響を受けます。たとえば設定ファイルに以下があるとします。
config.hosts << '.EXAMPLE.com'
"allowed host"の先頭にドットが付加されていると、特殊な細工を施されたヘッダーを用いて悪意のあるWebサイトにリダイレクトされる可能性があります。
この脆弱性はCVE-2021-22881と似ていますが、CVE-2021-22881ではドメイン名の大文字小文字の区別は考慮されていませんでした。
discuss.rubyonrails.orgより
- 影響を受けるRailsバージョン
- Rails 6.0.0以降
- 影響を受けないRailsバージョン
- Rails 6.0.0未満
- 修正済みバージョン
- Rails 6.0.4.1および6.1.4.1
- パッチ
- discuss.rubyonrails.orgにあり
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)