Rails 6.0.3.2 has been released! | Riding Rails
security updateがreleaseされてました。
珍しい脆弱性だったのでご紹介。
急いであげる必要はないような脆弱性ですが、対応したい人は上げておきましょう。
内容
ここに書かれてます。
[CVE-2020-8185] Untrusted users able to run pending migrations in production
Using this issue, an attacker would be able to execute any migrations that are pending for a Rails app running in production mode. It is important to note that an attacker is limited to running migrations the application developer has already defined in their application and ones that have not already ran.
Pending Migrationが実行できるというなんとも変わった脆弱性でした。
というよりも、例外の詳細を表示させることができ、PendingMigrationがある場合は実行できるというもののようでした。
patchをみても、脆弱性の全容が全く分からなかったのですが、
ググってみると、ActionableExceptions
に関するもののようで
エラー画面からmigrateできる機能に関するもののようです。
こんなんあったんですね。(必要性は感じないけど)
以下に画像付きで紹介されてました。
rails commit log流し読み(2019/04/19) - なるようになるブログ