こんにちは、Forkwell 開発チームの @sinsoku です。
Rails 5.0.0.1, 4.2.7.1, and 3.2.22.3 have been released! で Rails のセキュリティアップグレードが公開されました。
弊社で該当する処理はありませんでしたが、 Rails は上げられるときにアップグレードしておいた方が楽なので、さっさとアップグレードしておきました。
今回のアップグレード内容
CVE-2016-6316 を読むと分かるようにXSS脆弱性の対応です。
差分は rails/rails@v5.0.0...v5.0.0.1 を見ると tag_helper
の修正だけでした。
# 5.0.0 content_tag('p', "content", title: '"'.html_safe) #=> <p title=""">content</p> # 5.0.0.1 content_tag('p', "content", title: '"'.html_safe) #=> <p title=""">content</p>
html_safe
を使う機会は少ないかもしれませんが、使っている方は早めに上げた方が良さそうです。