ふたつの脆弱性に対処したRailsの2.2.3と2.3.4がリリース

本日リリース。
もうgemで入れられるようになってます。

主な内容はXSSとCookie storeに関する脆弱性の修正。
2.3.4では加えて100個ぐらいのバグ修正の他、いくつかの機能追加がされているようだ。

いつの間にか2.1系はセキュリティフィックスもなしっぽい。(リリースはないけどパッチは出ている)
自分も昔作ったやつは放置状態でまだ2.1のやつとかあるんだけど、そろそろ上げろってことかな。

XSS脆弱性

こちらはフォームヘルパーのバグによるXSS脆弱性。

対象は2.0.0以降のすべてのバージョン(ただしruby 1.9を使っている場合は影響なし)
修正済みバージョンは2.3.4、2.2.3。

Cookie storeの脆弱性

セッションストアにCookie storeを使っている場合、Cookieに含まれている値が改ざんされてないかどうかを検証するダイジェストを攻撃者が生成した任意のものにできる。
って書いてある気がする。
Cookie storeを使ってない人、そもそもセッションを使ってない人は慌てる必要なし。

対象は2.1.0以降のすべてのバージョン。
修正済みバージョンは2.3.4、2.2.3。

db/seeds.rbの追加

これは新機能。
各種マスタのデータとかをマイグレーションじゃなくてこれ使って入れなさいってことだと思う。たぶん。

よさげなのであとで使ってみよう。

2.0系と2.1系にはパッチ有り 2009/09/15追記

対応したバージョンのリリースはないけどパッチは出てたみたい。

InfoQ: Ruby on Railsのセキュリティの脆弱性