なるようになるブログ

読書感想文かrailsについてかrubyについてか

rails commit log流し読み(2020/05/19)

2020/05/19分のコミットです。

CHANGELOGへの追加はありませんでした。

Merge branch 'master-sec'

セキュリティリリース(6.0.3.1、5.2.4.3)の修正をmasterにコミットしています。修正内容は下記の通り。

[CVE-2020-8162] Circumvention of file size limits in ActiveStorage

Active StorageでS3にdirect uploadする際に、Content-Lengthの改ざんが出来てしまっていた(ユーザが指定したContent-Lengthがそのまま使用されてしまっていた)のを修正。

[CVE-2020-8164] Possible Strong Parameters Bypass in ActionPack

ActionController::Parameterseacheach_valueeach_pair の戻り値がuntrustedな値になっていた(permitした値ではなくraw parameterがそのまま返されていた)のを修正。

[CVE-2020-8165] Potentially unintended unmarshalling of user-provided objects in MemCacheStore and RedisCacheStore

ユーザから入力された情報をrawデータとしてMemCacheStore / RedisCacheStoreに書きこんだ後に、そのデータを読み込む際にその入力された情報がMarshalled objectとしevaluateされてしまっていたのを修正。

[CVE-2020-8166] Ability to forge per-form CSRF tokens given a global CSRF token

global CSRF tokenが指定されていた場合、それを使ってフォーム毎のCSRF tokenが偽造出来てしまっていたのを修正。

[CVE-2020-8167] CSRF Vulnerability in rails-ujs

rails-ujsで不正なドメインCSRF tokensを送れてしまっていたのを修正。

Fix syntax error

activestorage/lib/active_storage/service/s3_service.rbの修正です。

先にマージされたコードの中にシンタックスエラーになる箇所があったのを修正しています。

Unify the query values normalization for multiple values

Active Recordの修正です。

query valuesのnormalizationが箇所によってやりかたが異なっていたのを、同じnormalizationを行うよう修正しています。

Fix test_two_classes_autoloading failure

activesupport/lib/active_support/cache/mem_cache_store.rbの修正です。

不足していたactive_support/core_ext/marshalのrequireを追加しています。

Fix references in the form builders guide [ci skip]

rails guideのAction View Form Helpersの修正です。

exampleコードとそのコードについて説明している箇所で、変数名が一致してない箇所があったのを修正しています。

Test multiple values with blank value

activerecord/lib/active_record/relation/query_methods.rbactiverecord/test/cases/relations_test.rbの修正です。

multiple value methodsに空の値を指定した場合のテストを追加しています。

Update fixture_file_upload documentation to reflect recent changes. (#39340)

actionpack/lib/action_dispatch/testing/test_process.rbの修正です。

Use the file_fixture_path for fixture_file_upload:の挙動変更(file_fixture_path相対パスで検索されるようになる)に合わせて、ドキュメントも修正しています。

Add DidYouMean for HasManyThroughAssociationNotFoundError

activerecord/lib/active_record/associations.rbactiverecord/lib/active_record/reflection.rbの修正です。

ActiveRecord::HasManyThroughAssociationNotFoundErrorエラーが発生した場合に、did_you_meanを使用してサジェスチョンを出すよう修正しています。

Add DidYouMean for ParameterMissing

actionpack/lib/action_controller/metal/strong_parameters.rbの修正です。

ActionController::ParameterMissingエラーが発生した場合に、did_you_meanを使用してサジェスチョンを出すよう修正しています。