Ruby on Rails セキュリティ修正(7.0.2.2、6.1.4.6、6.0.4.6、5.2.6.2)がリリースされました。該当バージョンの早急なアップグレードが強く推奨されています。詳しくは公式情報を参照してください。
Rails 7.0.2.2, 6.1.4.6, 6.0.4.6, and 5.2.6.2 have been released! This is a security release, so please upgrade when you can! You can read more about the release here: https://t.co/BP6hxbV7L7
— Ruby on Rails (@rails) February 11, 2022
以下はGItHubのリリースタグです。
- Release v7.0.2.2 · rails/rails(日本時間2022年2月12日4:43)
- Release v6.1.4.6 · rails/rails(日本時間2022年2月12日4:41)
- Release v6.0.4.6 · rails/rails(日本時間2022年2月12日4:39)
- Release v5.2.6.2 · rails/rails(日本時間2022年2月12日3:38)
以下はコミットの差分です。
- Comparing v7.0.2…v7.0.2.2 · rails/rails
- Comparing v6.1.4.5…v6.1.4.6 · rails/rails
- Comparing v6.0.4.5…v6.0.4.6 · rails/rails
- Comparing v5.2.6.1…v5.2.6.2 · rails/rails
セキュリティ修正の概要
Action Packで情報漏えいの可能性
- 影響を受けるRailsバージョン
- Rails 5.0.0以降
- 修正済みバージョン
- 7.0.2.2、6.1.4.6、6.0.4.6、5.2.6.2
上記修正済みバージョンへのアップグレードが強く推奨されていますが、やむを得ない場合は以下のパッチを当てることも可能であると公式情報に記載されています。
class GuardedExecutor < ActionDispatch::Executor
def call(env)
ensure_completed!
super
end
private
def ensure_completed!
@executor.new.complete! if @executor.active?
end
end
# Ensure the guard is inserted before ActionDispatch::Executor
Rails.application.configure do
config.middleware.swap ActionDispatch::Executor, GuardedExecutor, executor
end
関連記事
The post Railsセキュリティ修正がリリースされました(7.0.2.2、6.1.4.6、6.0.4.6、5.2.6.2) first appeared on TechRacho.
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)