読者です 読者をやめる 読者になる 読者になる

Forkwell を Rails 5.0.0.1 へアップグレードしました

こんにちは、Forkwell 開発チームの @sinsoku です。

Rails 5.0.0.1, 4.2.7.1, and 3.2.22.3 have been released! で Rails のセキュリティアップグレードが公開されました。
弊社で該当する処理はありませんでしたが、 Rails は上げられるときにアップグレードしておいた方が楽なので、さっさとアップグレードしておきました。

f:id:sinsoku:20160812141826p:plain

今回のアップグレード内容

CVE-2016-6316 を読むと分かるようにXSS脆弱性の対応です。 差分は rails/rails@v5.0.0...v5.0.0.1 を見ると tag_helper の修正だけでした。

# 5.0.0
content_tag('p', "content", title: '"'.html_safe)
#=> <p title=""">content</p>

# 5.0.0.1
content_tag('p', "content", title: '"'.html_safe)
#=> <p title="&quot;">content</p>

html_safe を使う機会は少ないかもしれませんが、使っている方は早めに上げた方が良さそうです。