Rails v8.1.2.1 リリースノート解説 | つみかさね

この変更が意味すること

Rails 8.1.2.1 は セキュリティパッチリリース です。Active Support、Action View、Action Pack、Active Storage の各コンポーネントにわたる CVE 6件が修正されています。

本番環境で Rails を運用している場合は、早急なアップデートを推奨します。同時に v8.0.4.1 と v7.2.3.1 もリリースされており、旧バージョンを使用中のプロジェクトでもパッチ適用が可能です。

Action Pack の DebugExceptions ミドルウェアに XSS（クロスサイトスクリプティング）の脆弱性がありました。開発環境で表示されるエラー画面を通じて悪意あるスクリプトが実行される可能性があります。

修正者: John Hawthorn

Action View のタグヘルパーが空白の属性名をスキップするようになりました。これまでは空の属性名が渡されると無効な HTML が生成される可能性がありました。

修正者: Mike Dalessio

Active Support の NumberToDelimitedConverter のパフォーマンスが改善されました。特定の入力でパフォーマンスが著しく低下する問題への対応です。

修正者: Jean Boussier

Active Support の SafeBuffer#% メソッドが unsafe なステータスを正しく保持するよう修正されました。フォーマット文字列操作でのセキュリティリスクに対応しています。

修正者: Jean Boussier

Active Storage の DirectUploadController がユーザー提供のメタデータをフィルタリングするようになりました。ダイレクトアップロード時に意図しないメタデータが保存される問題への対応です。

修正者: Jean Boussier

Active Support の NumberConverter が科学的記数法（scientific notation）の入力を拒否するようになりました。

修正者: Jean Boussier

サイクル	最新バージョン	サポート	EOL
8.1	8.1.2.1	2026-10-10 まで	2027-10-10
8.0	8.0.4.1	2026-05-07 まで	2026-11-07
7.2	7.2.3.1	EOL済	2026-08-09
7.1	7.1.6	EOL済	2025-10-01 (EOL済)
7.0	7.0.10	EOL済	2025-04-01 (EOL済)

Rails 8.1 が現在のアクティブ系列です。7.2 以前は既にアクティブサポートが終了していますが、今回のセキュリティ修正は 7.2 系にもバックポートされています。

本番環境で Rails を運用中のすべての方: CVE 6件のセキュリティ修正のため、早急なアップデートを推奨します
Active Storage のダイレクトアップロード機能を使用中の方: メタデータフィルタリングが追加されます。カスタムメタデータを送信している場合は動作確認が必要です
数値フォーマット機能を使用中の方: NumberConverter と NumberToDelimitedConverter の挙動が変更されています
Rails 7.2 / 8.0 を使用中の方: v7.2.3.1 / v8.0.4.1 が同時リリースされています

# Gemfile のバージョンを更新後
bundle update rails

# または特定バージョンを指定
gem 'rails', '~> 8.1.2.1'
bundle install

データソース: GitHub Releases API, endoflife.date AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

★★★★★

早急なアップデートを推奨（セキュリティ修正）

Rails 8.1ActiveEOL: 2027-10-10

Rails 8.0ActiveEOL: 2026-11-07

Rails 7.2ActiveEOL: 2026-08-09

Rails 7.1End of LifeEOL: 2025-10-01

Rails 7.0End of LifeEOL: 2025-04-01