Ruby on Rails セキュリティ修正7.0.4.3、6.1.7.3がリリースされました。
英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。
- Release v7.0.4.3 · rails/rails(日本時間2023/03/14 03:58)
- Release v6.1.7.3 · rails/rails(日本時間2023/03/14 03:59)
詳しくは以下のコミットリストをご覧ください。
- コミットリスト: Comparing v7.0.4.2...v7.0.4.3 · rails/rails
- コミットリスト: Comparing v6.1.7.2...v6.1.7.3 · rails/rails
🔗 セキュリティ修正の概要
セキュリティ修正に関する情報は、discuss.rubyonrails.orgのsecurity-announcementsタグで一覧できます↓。
参考: Latest Security Announcements topics - Ruby on Rails Discussions
🔗 1. [CVE-2023-23913] DOM Based Cross-site Scripting in rails-ujs for contenteditable HTML Elements - Security Announcements - Ruby on Rails Discussions
上のリンク先で詳細を参照できます。パッチも提供されています。
- 影響を受ける過去のRailsバージョン
- 5.1.0以降
- 影響を受けない過去のRailsバージョン
- 5.1.0未満
- 修正済みバージョン
- 6.1.7.3、7.0.4.3
🔗 2. [CVE-2023-28120] Possible XSS Security Vulnerability in SafeBuffer#bytesplice - Security Announcements - Ruby on Rails Discussions
上のリンク先で詳細を参照できます。パッチも提供されています。
- 影響を受ける過去のRailsバージョン
- すべて
- 影響を受けない過去のRailsバージョン
- なし
- 修正済みバージョン
- 7.0.4.3, 6.1.7.3
参考: Rails API ActiveSupport::SafeBuffer
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)