Ruby on Rails 3系に深刻なセキュリティ問題、修正版への迅速なアップデートを推奨

 Ruby on Railsの開発チームは7月26日、「Ruby on Rails 3.2.7」および「3.1.7」「3.0.16」をリリースした。Ruby on Rails 3.x系で発見された深刻なセキュリティ問題を修正したメンテナンスリリースで、開発チームは3.x系のユーザーに対しすぐにアップデートするよう呼びかけている。

 問題となっているのは、authenticate_or_request_with_http_digestにおける脆弱性(CVE-2012-3424)。Action Packを利用したDigest認証に重大なセキュリティ問題があるとのことで、これを悪用したDoS攻撃を受ける可能性があるという。この問題の影響を受けるのはバージョン3.x系で、2.3.5~2.3.14は影響を受けないという。該当バージョンを使用しているユーザーに対し、この問題を修正したバージョン3.2.7および3.1.7、3.0.16へのすみやかなアップデートを推奨している。

 また、バージョン3.2.7ではこのほか、Active Record、Active Model、Active Supportなどで細かな修正が加わっている。

Ruby on Rails.org
http://rubyonrails.org/