Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Railsセキュリティ修正がリリースされました: 7.2.1.1 / 7.1.4.1 /7.0.8.5 / 6.1.7.9

Ruby on Rails セキュリティ修正7.2.1.1 / 7.1.4.1 / 7.0.8.5 / 6.1.7.9がリリースされました。それぞれのリリースでは、4件のReDoS脆弱性が修正されています。

これらの脆弱性はRuby 3.1に関連しているため、Ruby 3.1を利用しているRailsアプリケーションについては、Railsセキュリティ修正の適用に加えて、Rubyも3.2以降にアップグレードすることが強く推奨されています

これら4件の脆弱性は、Ruby 3.2では軽減されているため、Ruby 3.2以降を利用しているRailsアプリケーションは影響を受けないと説明されています。
また、Rails 8.0.0.beta1はRuby 3.2以降が必須のため、これら4件の脆弱性の影響を受けないと説明されています。


リリース情報にも記載されているように、つい先ごろ2024/10/15にRuby on Railsのメンテナンスポリシーの更新について発表されましたが↓、新ポリシーへの移行が完了する前のタイミングだったため、今回特別に6.1.7.9がリリースされたとのことです。

参考: Ruby on Rails — New Rails maintenance policy and end of maintenance announcements


英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。

以下のコミットリストも参照できます。

🔗 セキュリティ修正の概要

上記リリースでは、以下の4件の脆弱性が修正されました。いずれもReDoSに関連しています。

以下は4件の脆弱性共通です。

影響を受けるバージョン
Rails 7.2.1以下
影響を受けていないバージョン
Rails 8.0.0.beta以降、Ruby 3.2以降
修正されたバージョン
Rails 7.2.1.1、7.1.4.1、7.0.8.5、6.1.7.9

なお、Rails 7.2.1.1、7.1.4.1、7.0.8.5については上記CVEごとに修正パッチもリリースされていますが、Rails 6.1.7.9については修正パッチはリリースされていません。


セキュリティ関連のトピックは以下のRuby on Rails Discussionsのsecurityトピックで一覧できます。

参考: Latest security topics - Ruby on Rails Discussions

関連記事

Railsセキュリティ修正7.1.3.4、7.0.8.4、6.1.7.8がリリースされました

Rails: セキュリティ修正7.1.3.3、7.0.8.2がリリースされました


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。