Rails開発チームは1月25日(現地時間)、Railsの各系列の最新版「Rails 5.0.0.beta1.1 / 4.2.5.1 / 4.1.14.1 / 3.2.22.1」をリリースしました(公式ブログ)。これらのバージョンは以下の重要なセキュリティ修正を含み、可能な限り早急にバージョンアップすることが推奨されています。
- CVE-2015-7576 Timing attack vulnerability in basic authentication in Action Controller.
- CVE-2016-0751 Possible Object Leak and Denial of Service attack in Action Pack
- CVE-2015-7577 Nested attributes rejection proc bypass in Active Record.
- CVE-2016-0752 Possible Information Leak Vulnerability in Action View
- CVE-2016-0753 Possible Input Validation Circumvention in Active Model
- CVE-2015-7581 Object leak vulnerability for wildcard controller routes in Action Pack
同時にrails-html-sanitizer 1.0.3もリリースされていてこちらは以下のセキュリティ修正が含まれています。
- CVE-2015-7578 Possible XSS vulnerability in rails-html-sanitizer
- CVE-2015-7579 XSS vulnerability in rails-html-sanitizer
- CVE-2015-7580 Possible XSS vulnerability in rails-html-sanitizer
修正後、Rails 4.2ではHTML sanitizerのフィルターがより厳格化されるため、アップグレード後に動作確認を行い、動作しない場合はwhitelistに許容するタグを追加するよう注意が行われています。