Ruby on Rails セキュリティ修正8.0.2.1、7.2.2.2、7.1.5.2がリリースされました。Active StorageとActive Recordで1件ずつセキュリティ修正が行われました。
英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。
- Release 8.0.2.1 · rails/rails -- 日本時間2025/08/14 05:38
- Release 7.2.2.2 · rails/rails-- 日本時間2025/08/14 05:34
- Release 7.1.5.2 · rails/rails-- 日本時間2025/08/14 05:28
詳しくは以下のコミット差分リストをご覧ください。
- Comparing v8.0.2...v8.0.2.1 · rails/rails
- Comparing v7.2.2.1...v7.2.2.2 · rails/rails
- Comparing v7.1.5.1...v7.1.5.2 · rails/rails
🔗 セキュリティ修正の概要
なお、セキュリティ関連のトピックは以下のRuby on Rails Discussionsのsecurityトピックで一覧できます。
参考: Latest security topics - Ruby on Rails Discussions
🔗 1. [CVE-2025-24293] Active Storage allowed transformation methods potentially unsafe - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるActive Storageバージョン
- 修正済み以外の全過去バージョン:
activestorage >= 8.0, < 8.0.2.1
activestorage >= 7.2, < 7.2.2.2
activestorage >= 0, < 7.1.5.2 - 修正済みActive Storageバージョン
- 8.0.2.1、7.2.2.2、7.1.5.2
🔗 2.[CVE-2025-55193] ANSI escape injection in Active Record logging - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるActive Recordバージョン
- 修正済み以外の全過去バージョン:
activerecord >= 8.0, < 8.0.2.1
activerecord >= 7.2, < 7.2.2.2
activerecord >= 0, < 7.1.5.2 - 修正済みActive Recordバージョン
- 8.0.2.1、7.2.2.2、7.1.5.2
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)