2016/01/26分のコミットです。
CHANGELOGへの追加はありませんでした。
Fix nodoc to internal class error document some of them
docの修正です。
actionpack/lib/action_controller/metal/head.rb
のprivateメソッドから不要な:nodoc:
を削除、及び、Active Support配下の各エラークラスにdocの追加を行っています。
fix version update task to deal with .beta1.1
tasks/release.rb
の修正です。
バージョンの取得処理で、preバージョンの文字列中に、更に"."がある場合の対応を追加しています。
- major, minor, tiny, pre = version.split('.') + major, minor, tiny, pre = version.split('.', 4)
5.0.0.beta1.1
の場合、preがbeta1.1
になるのですが、元の処理だと、beta1
までしか取得出来ない問題があったので、修正したようです。beta1.1
というバージョン、ちょっと違和感ありますねえ。
各コンポーネントのバージョンを5.0.0.beta1.1
に更新しています。
後述するsecurity fix対応の為。
security fix対応のブランチをmasterにマージしています。
詳細は上記リンク参照。
大分ざっくりとですが、それぞれ以下のような内容のようです。
- CVE-2015-7576 Timing attack vulnerability in basic authentication in Action Controller.
- Stringの比較処理の実行時間からパスワードを推測されるのを避ける為に、
Digest::SHA256.hexdigest
を使用するように修正
- Stringの比較処理の実行時間からパスワードを推測されるのを避ける為に、
- CVE-2016-0751 Possible Object Leak and Denial of Service attack in Action Pack
- CVE-2015-7577 Nested attributes rejection proc bypass in Active Record.
allow_destroy: false
を設定していても、:reject_if
procの方の挙動が優先されてしまい、想定外にデーが削除出来てしまうバグがあったのの修正
- CVE-2016-0752 Possible Information Leak Vulnerability in Action View
def index render params[:id] end
- CVE-2016-0753 Possible Input Validation Circumvention in Active Model
- 下記のように、permittしていない値をそのままActive Modelのコンストラクタに渡した場合に、validationを通さずに値を保存出来てしまうバグの修正。Strong Parametersを使用していれば問題無い。
SomeModel.new(unverified_user_input)
- CVE-2015-7581 Object leak vulnerability for wildcard controller routes in Action Pack
- routesに
:controller
という文字列があった場合に、メモリリークしてしまうバグの修正
- routesに
なお、一部private APIの仕様が変わっており、その影響で、一部ライブラリと一緒に使用した場合にエラーになるという問題が起きています。
ref: Rails 4.2.5.1 Breaks render file in RSpec · Issue #23244 · rails/rails
Gemfile.lock
の修正です。
Rails 5.0.0.beta1.1対応で、Gemfile.lock
の更新が漏れてしまっていた為、Gemfile.lock
の更新対応を行っています。
[ci skip] Don’t explicitly mention EventMachine
各docの修正です。
Eliminate the EventMachine dependency by matthewd · Pull Request #23152 · rails/railsでAction CableからEventMachineの依存が削除されたのですが、 各docにEventMachineに依存している旨説明が残ってしまっていた為、まとめて削除しています。
reflect mapping to match initialize
activerecord/lib/active_record/aggregations.rb
のdocの修正です。
composed_of
メソッドのdoc内のexampleで、example用クラスの初期値に指定する変数名に誤りがあったのを修正しています。