Tech Racho エンジニアの「?」を「!」に。
  1. TOP
  2. Ruby / Rails関連
  3. Railsセキュリティ修正がリリースされました: 7.2.1.1 / 7.1.4.1 /7.0.8.5 / 6.1.7.9
  • Ruby / Rails関連

Railsセキュリティ修正がリリースされました: 7.2.1.1 / 7.1.4.1 /7.0.8.5 / 6.1.7.9

Ruby on Rails セキュリティ修正7.2.1.1 / 7.1.4.1 / 7.0.8.5 / 6.1.7.9がリリースされました。それぞれのリリースでは、4件のReDoS脆弱性が修正されています。

これらの脆弱性はRuby 3.1に関連しているため、Ruby 3.1を利用しているRailsアプリケーションについては、Railsセキュリティ修正の適用に加えて、Rubyも3.2以降にアップグレードすることが強く推奨されています

これら4件の脆弱性は、Ruby 3.2では軽減されているため、Ruby 3.2以降を利用しているRailsアプリケーションは影響を受けないと説明されています。
また、Rails 8.0.0.beta1はRuby 3.2以降が必須のため、これら4件の脆弱性の影響を受けないと説明されています。

リリース情報にも記載されているように、つい先ごろ2024/10/15にRuby on Railsのメンテナンスポリシーの更新について発表されましたが↓、新ポリシーへの移行が完了する前のタイミングだったため、今回特別に6.1.7.9がリリースされたとのことです。

参考: Ruby on Rails — New Rails maintenance policy and end of maintenance announcements

英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。

以下のコミットリストも参照できます。

🔗 セキュリティ修正の概要

上記リリースでは、以下の4件の脆弱性が修正されました。いずれもReDoSに関連しています。

以下は4件の脆弱性共通です。

影響を受けるバージョン
Rails 7.2.1以下
影響を受けていないバージョン
Rails 8.0.0.beta以降、Ruby 3.2以降
修正されたバージョン
Rails 7.2.1.1、7.1.4.1、7.0.8.5、6.1.7.9

なお、Rails 7.2.1.1、7.1.4.1、7.0.8.5については上記CVEごとに修正パッチもリリースされていますが、Rails 6.1.7.9については修正パッチはリリースされていません。

セキュリティ関連のトピックは以下のRuby on Rails Discussionsのsecurityトピックで一覧できます。

参考: Latest security topics - Ruby on Rails Discussions

関連記事

Railsセキュリティ修正7.1.3.4、7.0.8.4、6.1.7.8がリリースされました

Rails: セキュリティ修正7.1.3.3、7.0.8.2がリリースされました


タグ
この記事を書いた人

hachi8833

Twitter: @hachi8833、GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。 これまでにRuby on Rails チュートリアル第2版のコンテンツ監修、Railsガイドのコンテンツ作成を担当。 かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。 実は最近Go言語が好きで、Goで書かれたRubyライクなGoby言語のメンテナーでもある。 仕事に関係ないすっとこブログ「あけてくれ」は2000年頃から多少の中断をはさんで継続、現在はnote.comに移転。Amazonウィッシュリスト: https://bit.ly/32aAmiI

hachi8833の書いた記事一覧へ

本記事の内容へのお問い合せはTwitterで@techrachoへMentionまたはDMにてご連絡頂くか、運営会社であるBPS株式会社のお問い合せフォームよりお問い合せ下さい。

CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。
CONTACT FORM