Ruby on Railsセキュリティ修正7.1.3.4、7.0.8.4、6.1.7.8がリリースされました。
- リリース情報: Ruby on Rails — Rails Versions 6.1.7.8, 7.0.8.4, 7.1.3.4, and 7.2.0.beta2 have been released!
英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。
- Release 7.1.3.4 · rails/rails(日本時間2024/06/05 03:07AM)
- Release 7.0.8.4 · rails/rails(日本時間2024/06/05 03:06AM)
- Release 6.1.7.8 · rails/rails(日本時間2024/06/05 03:06AM)
詳しくは以下のコミット差分リストをご覧ください。
- Comparing v7.1.3.3...v7.1.3.4 · rails/rails
- Comparing v7.0.8.3...v7.0.8.4 · rails/rails
- Comparing v6.1.7.7...v6.1.7.8 · rails/rails
🔗 セキュリティ修正の概要
詳しくは以下のトピックを参照してください。それぞれに修正用パッチも提供されています。
- 1: [CVE-2024-32464] ActionText ContentAttachment's can Contain Unsanitized HTML
- Rails 7.1.0以上に影響
(Rails 7.1.0未満は影響なし)
Rails 7.1.3.4で修正 - 2: [CVE-2024-28103] Permissions-Policy is Only Served on HTML Content-Type
- Rails 6.1.0以上に影響
(Rails 6.1.0未満は影響なし)
Rails 7.1.3.4、7.0.8.4、6.1.7.8で修正
なお、セキュリティ関連のトピックは以下のRuby on Rails DiscussionsのSecurity Announcementsトピックで一覧できます(securityタグは現在使われなくなったようです)。
参考: Latest Security Announcements topics - Ruby on Rails Discussions
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)
なお、Ruby on Rails 7.2.0.beta2も合わせてリリースされていました。
参考: Release 7.2.0.beta2 · rails/rails