2020/05/19分のコミットです。
CHANGELOGへの追加はありませんでした。
セキュリティリリース(6.0.3.1、5.2.4.3)の修正をmasterにコミットしています。修正内容は下記の通り。
[CVE-2020-8162] Circumvention of file size limits in ActiveStorage
Active StorageでS3にdirect uploadする際に、Content-Lengthの改ざんが出来てしまっていた(ユーザが指定したContent-Lengthがそのまま使用されてしまっていた)のを修正。
[CVE-2020-8164] Possible Strong Parameters Bypass in ActionPack
ActionController::Parameters
のeach
、each_value
、each_pair
の戻り値がuntrustedな値になっていた(permitした値ではなくraw parameterがそのまま返されていた)のを修正。
ユーザから入力された情報をrawデータとしてMemCacheStore
/ RedisCacheStore
に書きこんだ後に、そのデータを読み込む際にその入力された情報がMarshalled objectとしevaluateされてしまっていたのを修正。
[CVE-2020-8166] Ability to forge per-form CSRF tokens given a global CSRF token
global CSRF tokenが指定されていた場合、それを使ってフォーム毎のCSRF tokenが偽造出来てしまっていたのを修正。
[CVE-2020-8167] CSRF Vulnerability in rails-ujs
rails-ujsで不正なドメインにCSRF tokensを送れてしまっていたのを修正。
activestorage/lib/active_storage/service/s3_service.rb
の修正です。
先にマージされたコードの中にシンタックスエラーになる箇所があったのを修正しています。
Unify the query values normalization for multiple values
Active Recordの修正です。
query valuesのnormalizationが箇所によってやりかたが異なっていたのを、同じnormalizationを行うよう修正しています。
Fix test_two_classes_autoloading
failure
activesupport/lib/active_support/cache/mem_cache_store.rb
の修正です。
不足していたactive_support/core_ext/marshal
のrequireを追加しています。
Fix references in the form builders guide [ci skip]
rails guideのAction View Form Helpers
の修正です。
exampleコードとそのコードについて説明している箇所で、変数名が一致してない箇所があったのを修正しています。
Test multiple values with blank value
activerecord/lib/active_record/relation/query_methods.rb
、
activerecord/test/cases/relations_test.rb
の修正です。
multiple value methodsに空の値を指定した場合のテストを追加しています。
Update fixture_file_upload
documentation to reflect recent changes. (#39340)
actionpack/lib/action_dispatch/testing/test_process.rb
の修正です。
Use the file_fixture_path
for fixture_file_upload:の挙動変更(file_fixture_path
の相対パスで検索されるようになる)に合わせて、ドキュメントも修正しています。
Add DidYouMean for HasManyThroughAssociationNotFoundError
activerecord/lib/active_record/associations.rb
、
activerecord/lib/active_record/reflection.rb
の修正です。
ActiveRecord::HasManyThroughAssociationNotFoundError
エラーが発生した場合に、did_you_meanを使用してサジェスチョンを出すよう修正しています。
Add DidYouMean for ParameterMissing
actionpack/lib/action_controller/metal/strong_parameters.rb
の修正です。
ActionController::ParameterMissing
エラーが発生した場合に、did_you_meanを使用してサジェスチョンを出すよう修正しています。