Ruby on Rails 3.2.11がリリースされました。
3.2.10が出てから数日ですが、合わせてかなり重大なセキュリティFIXが含まれているので、確実に更新しましょう。
3.2.11での変更点 (1)
URLを知っている人だけがアクセスできる隠しページや、パスワードリセット機能などで、token認証をすることがよくあります。 たとえば以下のようなコードです。if params[:token] @user = User.find_by_token(params[:token]) endここで、仮に
params[:token]
が空のハッシュ {}
の場合、if文は当然真と評価されて通過しますが、find_by_tokenの部分は条件無しと見なされます。
User.find_by_token({})
User.where(:token => {})
このようなコードは、whereが無いものとしてSQLに展開されます。
RailsではPOST時のHTTPヘッダにContent-Typ
e: application/json
を指定すれば任意のハッシュを渡すことができるため、簡単に任意のuserを取得させることができてしまいます。
非常に危険ですね(゜Д゜)
3.2.11では、空Hashがwhere条件に指定された場合、該当無し︵WHERE 1=2︶に展開されるように変更されました。
3.2.11での変更点 (2)
Hash.from_xmlでは、XMLで <foo type="symbol">value</foo> のような指定をすると、シンボルにデコードされます。 ActiveSupportやActiveRecordなどで、シンボルはオプション指定に解釈されることが多く、任意のオプションを指定されてしまう恐れがあります。 3.2.11では、Hash.from_xml
がsymbolやyamlの型指定を受け付けないようになりました。
特別な理由により必要な場合︵設定ファイルをこのメソッドで読み込んでいるなど︶は、Hash.from_trusted_xml
を使うことができます。
3.2.10での変更点
以下のようなコードでclass UsersController < ApplicationController def show @user = User.find_by_name(params[:name]) end end
/users/name[limit]=1
のようなURLにアクセスすると、extract_options!の作用により
User.find_by_name(nil, :limit =>1)
と解釈され、SQLインジェクションが成立します。
3.2.10では、dynamic_finderで引数個数がチェックされることになりました︵引数が足りないとオプションとは解釈されません︶。
なお、Rails 4ではこのdynamic finder自体がDEPRECATEDで、find_by
メソッドになっているので合わせてご注意ください。