Ruby on Rails セキュリティ修正7.0.4.1、6.1.7.1、6.0.6.1がリリースされました。
それとは別にRackとGitでもセキュリティ修正がリリースされていますので、参考までに後述します。
Rails Versions 7.0.4.1, 6.1.7.1, and 6.0.6.1 have been released to address some security vulnerabilities. https://t.co/Z2ifRpuen1
— Ruby on Rails (@rails) January 17, 2023
Railsのメンテナンスポリシーに基づき、7.0.Zおよび6.1.Zシリーズについてはすべてのセキュリティ修正がリリースされ、6.0.Zシリーズについては"重大なセキュリティ修正のみ"がリリースされています。サポートの終了したRailsバージョンについては、できる限り速やかにアップグレードすることが推奨されています。
英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。
- Release v7.0.4.1 · rails/rails(日本時間2022/01/18 6:31)
- Release v6.1.7.1 · rails/rails(日本時間2022/01/18 6:30)
- Release v6.0.6.1 · rails/rails(日本時間2022/01/18 6:29)
詳しくは以下のコミットリストをご覧ください。
- Comparing v7.0.4...v7.0.4.1 · rails/rails
- Comparing v6.1.7...v6.1.7.1 · rails/rails
- Comparing v6.0.6...v6.0.6.1 · rails/rails
また、以下で直近のセキュリティ関連トピックを一覧できます。
参考: Latest security topics - Ruby on Rails Discussions
🔗 セキュリティ修正の概要
以下の6件の脆弱性が修正されました。それぞれに7.0.4.1の当該修正コミットへのリンクも貼ってあります。
なお、どの修正についてもリリースの他にパッチも公開されています。詳しくはリンク先の情報を参照してください。
🔗 1. [CVE-2023-22797] Possible Open Redirect Vulnerability in Action Pack - Security Announcements - Ruby on Rails Discussions
- 影響を受けるRailsバージョン
- Rails 7.0.0以降
- 影響を受けないRailsバージョン
- Rails 7.0.0未満
- 修正済みバージョン
- 7.0.4.1
- 7.0.4.1の修正コミット: Fix sec issue with _url_host_allowed? · rails/rails@e50e26d
🔗 2. [CVE-2022-44566] Possible Denial of Service Vulnerability in ActiveRecord's PostgreSQL adapter - Security Announcements - Ruby on Rails Discussions
- 影響を受けるRailsバージョン
- すべてのバージョン
- 影響を受けないRailsバージョン
- なし
- 修正済みバージョン
- 7.0.4.1、6.1.7.1
🔗 3. [CVE-2023-22795] Possible ReDoS based DoS vulnerability in Action Dispatch - Security Announcements - Ruby on Rails Discussions
- 影響を受けるRailsバージョン
- すべてのバージョン
- 影響を受けないRailsバージョン
- なし
- 修正済みバージョン
- 7.0.4.1、6.1.7.1
🔗 4. [CVE-2023-22794] SQL Injection Vulnerability via ActiveRecord comments - Security Announcements - Ruby on Rails Discussions
Rails 6.0.6.1にはこの脆弱性修正のみが含まれます。
- 影響を受けるRailsバージョン
- Rails 6.0.0以降
- 影響を受けないRailsバージョン
- Rails 6.0.0未満
- 修正済みバージョン
- 6.0.6.1、6.1.7.1、7.0.4.1
- 7.0.4.1の修正コミット: Make sanitize_as_sql_comment more strict · rails/rails@d7aba06
🔗 5. [CVE-2023-22796] Possible ReDoS based DoS vulnerability in Active Support's underscore - Security Announcements - Ruby on Rails Discussions
- 影響を受けるRailsバージョン
- すべてのバージョン
- 影響を受けないRailsバージョン
- なし
- 修正済みバージョン
- 7.0.4.1、6.1.7.1
🔗 6. [CVE-2023-22792] Possible ReDoS based DoS vulnerability in Action Dispatch - Security Announcements - Ruby on Rails Discussions
- 影響を受けるRailsバージョン
- Rails 3.0.0以降
- 影響を受けないRailsバージョン
- Rails 3.0.0未満
- 修正済みバージョン
- 6.1.7.1、7.0.4.1
参考: Rackセキュリティ修正v3.0.4.1、v2.2.6.2がリリース
v3.0.4.1、v2.2.6.2では以下の3件の脆弱性が修正されています(リンク先はv3.0.4.1です)。
- [CVE-2022-44571] Fix ReDoS vulnerability in multipart parser
- [CVE-2022-44570] Fix ReDoS in Rack::Utils.get_byte_ranges
- [CVE-2022-44572] Forbid control characters in attributes (also ReDoS)
参考: Gitセキュリティ修正2.39.1がリリース
Git 2.39.1では以下の3件の脆弱性が修正されています。
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)