Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Railsセキュリティ修正7.0.4.1、6.1.7.1、6.0.6.1がリリースされました

Ruby on Rails セキュリティ修正7.0.4.1、6.1.7.1、6.0.6.1がリリースされました。
それとは別にRackとGitでもセキュリティ修正がリリースされていますので、参考までに後述します。

Railsのメンテナンスポリシーに基づき、7.0.Zおよび6.1.Zシリーズについてはすべてのセキュリティ修正がリリースされ、6.0.Zシリーズについては”重大なセキュリティ修正のみ“がリリースされています。サポートの終了したRailsバージョンについては、できる限り速やかにアップグレードすることが推奨されています。

英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。

詳しくは以下のコミットリストをご覧ください。

また、以下で直近のセキュリティ関連トピックを一覧できます。

参考: Latest security topics – Ruby on Rails Discussions

🔗 セキュリティ修正の概要

以下の6件の脆弱性が修正されました。それぞれに7.0.4.1の当該修正コミットへのリンクも貼ってあります。
なお、どの修正についてもリリースの他にパッチも公開されています。詳しくはリンク先の情報を参照してください。

🔗 1. [CVE-2023-22797] Possible Open Redirect Vulnerability in Action Pack – Security Announcements – Ruby on Rails Discussions

影響を受けるRailsバージョン
Rails 7.0.0以降
影響を受けないRailsバージョン
Rails 7.0.0未満
修正済みバージョン
7.0.4.1

🔗 2. [CVE-2022-44566] Possible Denial of Service Vulnerability in ActiveRecord’s PostgreSQL adapter – Security Announcements – Ruby on Rails Discussions

影響を受けるRailsバージョン
すべてのバージョン
影響を受けないRailsバージョン
なし
修正済みバージョン
7.0.4.1、6.1.7.1

🔗 3. [CVE-2023-22795] Possible ReDoS based DoS vulnerability in Action Dispatch – Security Announcements – Ruby on Rails Discussions

影響を受けるRailsバージョン
すべてのバージョン
影響を受けないRailsバージョン
なし
修正済みバージョン
7.0.4.1、6.1.7.1

🔗 4. [CVE-2023-22794] SQL Injection Vulnerability via ActiveRecord comments – Security Announcements – Ruby on Rails Discussions

Rails 6.0.6.1にはこの脆弱性修正のみが含まれます。

影響を受けるRailsバージョン
Rails 6.0.0以降
影響を受けないRailsバージョン
Rails 6.0.0未満
修正済みバージョン
6.0.6.1、6.1.7.1、7.0.4.1

🔗 5. [CVE-2023-22796] Possible ReDoS based DoS vulnerability in Active Support’s underscore – Security Announcements – Ruby on Rails Discussions

影響を受けるRailsバージョン
すべてのバージョン
影響を受けないRailsバージョン
なし
修正済みバージョン
7.0.4.1、6.1.7.1

🔗 6. [CVE-2023-22792] Possible ReDoS based DoS vulnerability in Action Dispatch – Security Announcements – Ruby on Rails Discussions

影響を受けるRailsバージョン
Rails 3.0.0以降
影響を受けないRailsバージョン
Rails 3.0.0未満
修正済みバージョン
6.1.7.1、7.0.4.1

参考: Rackセキュリティ修正v3.0.4.1、v2.2.6.2がリリース

v3.0.4.1、v2.2.6.2では以下の3件の脆弱性が修正されています(リンク先はv3.0.4.1です)。

参考: Gitセキュリティ修正2.39.1がリリース

Git 2.39.1では以下の3件の脆弱性が修正されています。


TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)

関連記事

Railsセキュリティ修正7.0.3.1、6.1.6.1、6.0.5.1、5.2.8.1がリリースされました


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。