こんにちは、Forkwell 開発チームの @sinsoku です。
Rails 5.0.0.1, 4.2.7.1, and 3.2.22.3 have been released! で Rails のセキュリティアップグレードが公開されました。
弊社で該当する処理はありませんでしたが、 Rails は上げられるときにアップグレードしておいた方が楽なので、さっさとアップグレードしておきました。
今回のアップグレード内容
CVE-2016-6316 を読むと分かるようにXSS脆弱性の対応です。
差分は rails/rails@v5.0.0...v5.0.0.1 を見ると tag_helper の修正だけでした。
# 5.0.0
content_tag('p', "content", title: '"'.html_safe)
#=> <p title=""">content</p>
# 5.0.0.1
content_tag('p', "content", title: '"'.html_safe)
#=> <p title=""">content</p>
html_safe を使う機会は少ないかもしれませんが、使っている方は早めに上げた方が良さそうです。
