Rails 3.2.11にアップデートしましょう｜TechRacho by BPS株式会社

Ruby on Rails 3.2.11がリリースされました。 3.2.10が出てから数日ですが、合わせてかなり重大なセキュリティFIXが含まれているので、確実に更新しましょう。 3.2.11での変更点 (1) URLを知っている人だけがアクセスできる隠しページや、パスワードリセット機能などで、token認証をすることがよくあります。 たとえば以下のようなコードです。 if params[:token] @user = User.find_by_token(params[:token]) end ここで、仮にparams[:token]が空のハッシュ {} の場合、if文は当然真と評価されて通過しますが、find_by_tokenの部分は条件無しと見なされます。 User.find_by_token({}) User.where(:token => {}) このようなコードは、whereが

[madarax11]

アップデートしなきゃ ［R2T］ Rails 3.2.11にアップデートしましょう / TechRacho

[tmtms]

Rails こわい

[rryu]

空ハッシュを 1=2 に展開するのはガード条件を !params[:token].blank? にすべきという無言の主張なのかもしれない。

[kazuhooku]

これ笑うところ？ > 「空Hashがwhere条件に指定された場合、該当無し（WHERE 1=2）に展開」

[tmatsuu]

あれ、こうだっけ？何はともあれアップデートを。

[nekoruri]

脆弱性のまとめ。

[invent]

Rails 3.2.11にアップデートしましょう | TechRacho

[an-ironic-man]

find_by_hogeやwhereに空ハッシユ {} を渡すとWHERE句がないSQLが発行される。バージョンアップするとwhere 1=2が発行される。

[aki03]

わかりやすくまとまってる。

[tricknotes]

とてもわかりやすい記事！

[t-wada]

今回の Rails の "極めて深刻な脆弱性" に関してはこのエントリが分かりやすいです

[takisok]

「簡単に任意のuserを取得させることができてしまいます。」って恐いな。アップデートしておこう。

[shioki]

"かなり重大なセキュリティFIXが含まれているので、確実に更新しましょう"

[gabuchan]

今日話題のRailsの脆弱性はこの記事がわかりやすいです。わりと単純なセキュリティホールに思える...