Rails versions 6.1.3.2, 6.0.3.7, 5.2.4.6, and 5.2.6 have been released!

日本はGW中なのにRailsのsecurity releaseがありました。
早めにリリースしておくのが良さそうです。

Rails versions 6.1.3.2, 6.0.3.7, 5.2.4.6, and 5.2.6 have been released! | Riding Rails

ざっくり

該当のCVEは4つもあります。

[CVE-2021-22902] Possible Denial of Service vulnerability in Action Dispatch - Security Announcements - Ruby on Rails Discussions.

Mime Typeを判断する正規表現に問題があるようで、ReDoSの対応となります。

[CVE-2021-22903] Possible Open Redirect Vulnerability in Action Pack - Security Announcements - Ruby on Rails Discussions.

DNSバインディング対応(config.hosts)を利用している場合、文字列が正規表現として利用され一部無効化(「.」部分)される脆弱性があったようです。

[CVE-2021-22885] Possible Information Disclosure / Unintended Method Execution in Action Pack - Security Announcements - Ruby on Rails Discussions

redirect_to or polymorphic_url にユーザ入力値を渡していた場合、予期せぬroute helperが呼ばれる可能性があったようです。

[CVE-2021-22904] Possible DoS Vulnerability in Action Controller Token Authentication - Security Announcements - Ruby on Rails Discussions

authenticate_or_request_with_http_token or authenticate_with_http_token を利用している場合に、 こちらもReDoSの対応のようです。

(このメソッド知らんかったけど、便利そう。)