@ledsun blog

Hのキーがhellで、Sのキーがslaveだ、と彼は思った。そしてYのキーがyouだ。

CVE-2015-9284 と OmniAuth 2.0.0 と Devise 4.8.0 の歩み

2019/04/26

OmniAuthに脆弱性が発見されます。

NVD - CVE-2015-9284

2020/12/11

上記の脆弱性に対応した、OmniAuth 2.0.0 RC1がリリースされます。

github.com

2020/12/12

OmniAuth 2.0.0 RC1がリリースへのフィードバックが求められます。

github.com

2021/01/07

Devise 4.7.1は依存するOmniAuthのバージョンが1.x.xでハードコードされています。 新たにリリースされるOmniAuth 2.0.0が使えません。 この問題に対するIssueとPRが作られます。

github.com

github.com

2021/01/12

OmniAuth 2.0.0 がリリースされます。 OmniAuthの脆弱性に対応するために、OmniAuthのバージョンを上げたいが、Deviseが使用するOmniAuthのバージョンを 1.x.x で固定しているため、バージョンを上げられないジレンマが発生します。

github.com

2021/01/17

上記の問題を認識する日本語のブログが書かれます。

www.takayasugiyama.com

gem 'devise', git: "https://github.com/heartcombo/devise.git", branch: "ca-omniauth-2"

GemfileにPRのブランチを指定する対処法が提示されます。

2021/02/02

DeviseのPRがマージされます。

2021/02/07

マージを観測した日本語のブログが書かれます。

s4na.hatenablog.com

gem "devise", git: "https://github.com/heartcombo/devise"

Gemfileにmasterブランチを指定する対処法が提示されます。

2021/04/29

Devise 4.8.0がリリースされます。

github.com

Gemfileのハックが不要になりました 🎉

gem 'devise'

Gemfileの記述が段々短くなるのが良いですね。