Ruby on Rails セキュリティ修正6.0.4.4/6.1.4.4がリリースされました。
リリースタグは以下です。
コミットの比較は以下です。
🔗 セキュリティ修正の概要
🔗 Possible Open Redirect in Host Authorization Middleware - Security Announcements - Ruby on Rails Discussions
詳しくは上のリンクをご覧ください。
以下のようにドットで始まるホストをコンフィグのconfig.hostsで許可すると、悪意のあるX-Forwarded-HostによってAction PackのHost Authorizationミドルウェアがユーザーを悪意のあるWebサイトにリダイレクトする可能性があります。
config.hosts << '.EXAMPLE.com'
- 影響を受けるRailsバージョン
- Rails 6.0.0以降
- 影響を受けないRailsバージョン
- Rails 5.x以前
- 修正済みバージョン
- 6.1.4.2以降、6.0.4.2以降、7.0.0.rc2以降
修正用パッチ
アップグレードができない場合に用いるパッチです。
- 6-0-host-authorzation-open-redirect.patch
- 6-1-host-authorzation-open-redirect.patch
- 7-0-host-authorzation-open-redirect.patch
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)
注
当初は6.0.4.2/6.1.4.2/7.0.0.rc2がリリースされましたが、
localhost:3000でアクセスできない問題(#43865)があったので6.0.4.3/6.1.4.3/7.0.0.rc3がリリースされました。しかしlvh.me:3000のようにポート番号を指定できない問題(#43864)があったので、最終的に6.0.4.4/6.1.4.4がリリースされました。Rails 7.0.0.rc2および7.0.0.rc3については、これらの修正を含むRails 7.0.0最終版がリリースされましたので、以下の記事をご覧ください。