Ruby on Rails セキュリティ修正7.1.3.2、7.0.8.1、6.1.7.7がリリースされました。
Railsの修正3件のうち、1件はRailsの過去全バージョンに影響する脆弱性が修正されています。
Railsの修正に加えて、Rackでも3件のセキュリティ修正が行われました。うち1件は、Rackの過去全バージョンに影響する脆弱性が修正されています。
現在のメンテナンスポリシーでは、7.1.Z、7.0.Z、6.1.Zがセキュリティ修正の対象となっています。
英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。
- Release v7.1.3.2 · rails/rails(日本時間2024/02/22 06:52)
- Release 7.0.8.1 · rails/rails(日本時間2024/02/22 03:53)
- Release 6.1.7.7 · rails/rails(日本時間2024/02/22 03:51)
詳しくは以下のコミット差分リストをご覧ください。
- Comparing v7.1.3...v7.1.3.2 · rails/rails
- Comparing v7.0.8...v7.0.8.1 · rails/rails
- Comparing v6.1.7.6...v6.1.7.7 · rails/rails
🔗 セキュリティ修正の概要
セキュリティ修正のアナウンスは以下で参照できます。
参考: Latest Security Announcements topics - Ruby on Rails Discussions
今回のセキュリティ修正に関連して、Railsで3つ、Rackで3つのトピックが掲載されています。
Rails関連
- Possible ReDoS vulnerability in Accept header parsing in Action Dispatch - Security Announcements - Ruby on Rails Discussions
- Rails 7.1.0以上に影響
Rails 7.1.3.2(7.1.3.1)で修正 - Possible XSS Vulnerability in Action Controller - Security Announcements - Ruby on Rails Discussions
- すべての過去バージョンに影響
Rails 7.1.3.2(7.1.3.1)、Rails 7.0.8.1で修正 - Possible Sensitive Session Information Leak in Active Storage - Security Announcements - Ruby on Rails Discussions
- Rails 5.2.0以上7.1.0未満に影響(Rails 7.1.0以上には影響なし)
Rails 7.0.8.1とRails 6.1.7.7で修正
Rack関連
- Possible Denial of Service Vulnerability in Rack Header Parsing - Security Announcements - Ruby on Rails Discussions
- すべての過去バージョンに影響
Rack 2.0.9.4、2.1.4.4、2.2.8.1、3.0.9.1で修正 - Denial of Service Vulnerability in Rack Content-Type Parsing - Security Announcements - Ruby on Rails Discussions
- Rack 0.4以上に影響
Rack 3.0.9.1、2.2.8.1で修正 - Possible DoS Vulnerability with Range Header in Rack - Security Announcements - Ruby on Rails Discussions
- Rack 1.3.0以上に影響
Rack 3.0.9.1、2.2.8.1で修正
(なお以下のRuby on Rails Discussionsのsecurityトピックには今のところ上記はありません)
参考: Latest security topics - Ruby on Rails Discussions
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)
注意