2021/05/06分のコミットです。
CHANGELOGへの追加はありませんでした。
Action Packの修正です。
security fixesの対応として、下記4つのCVEへの対応が行われています。
- [CVE-2021-22902] Possible Denial of Service vulnerability in Action Dispatch
- [CVE-2021-22903] Possible Open Redirect Vulnerability in Action Pack
- [CVE-2021-22885] Possible Information Disclosure / Unintended Method Execution in Action Pack
redirect_to
、polymorphic_url
でユーザが入力した信頼出来ない値を指定した場合(e.g.redirect_to(params[:some_param])
)に、想定外のメソッドの実行が行われてしまう脆弱性があったのを修正
- [CVE-2021-22904] Possible DoS Vulnerability in Action Controller Token Authentication
Make Rubocop happy adding extra spaces
actionpack/test/controller/http_token_authentication_test.rb
の修正です。
rubocopの設定に違反している箇所があったのを修正しています
Return an empty array if annotated_source_code is nil.
actionpack/test/dispatch/debug_exceptions_test.rb
の修正です。
annotated_source_code
がnilの場合のテストを削除しています。今実際のコードでnilになる事は無いため。
Special case SafeBuffer#concat(nil) to avoid the bulk of deprecations
activesupport/lib/active_support/core_ext/string/output_safety.rb
の修正です。
SafeBuffer#concat
にnilを指定した場合に、Deprecate implicitly coercing objects to string in ActiveSupport::SafeBufferで対応したdeprecateメッセージが表示されないよう修正しています。concat
にnilを渡すケースは通常の使用でありえる為。
Remove unnecessary array conversion in log_array
actionpack/lib/action_dispatch/middleware/debug_exceptions.rb
の修正です。
log_array
メソッドでのarray
引数のArrayへの変換処理を削除しています。現在はメソッドが呼ばれる時点で必ずArrayになっている為。
Clarify that ActionDispatch::DebugLocks is accessible via HTTP (#42160)
actionpack/lib/action_dispatch/middleware/debug_locks.rb
のdocの修正です。
ActionDispatch::DebugLocks
メソッドのdoc内の言い回しを修正しています。
Fix links in the Contributing to Ruby on Rails guide [ci skip]
rails guideのContributing to Ruby on Rails
の修正です。
コードへのリンクが壊れている箇所があったのを修正しています。