Railsセキュリティフィックス4.2.5.1, 4.1.14.1, 5.0.0.beta1.1のメモ🍄 DoS(Denial of Service)攻撃でmine-typeを大量に送ったらサーバが落ちてしまう問題の対応CVE-2016-0751 Possible Object Leak and Denial of Service attack in Action Pack mime-typeをglobal cacheしていたため、大量な不正アクセスでメモリを圧迫してサービス停止しないようにするための対策。 ちなみに「mime-type」とはデータの種類を表すコードのことで、画像の image/jpeg やHTMLの text/html などがある。 🏀 allow_destroy: falseが効かないバグの修正[CVE-2015-7577] Nested attributes rejection proc bypass in Active Record accepts_nested
