BigDecimal の DoS 脆弱性

Ruby標準ライブラリの一つであるBigDecimalに、DoS(Denial Of Service)状態を引き起こしてしまう脆弱性が存在することが発見されました。 BigDecimalオブジェクトから浮動小数点数(Float)への変換に問題があり、攻撃者はsegmentation faultsを引き起こすことができます。

ActiveRecordライブラリはこのメソッドを使用しているため、多くのRailsアプリケーションはこの脆弱性の影響を受けます。しかしながら、これはRailsのみの問題ではなく、Rubyアプリケーション全体に影響の起こりうる問題です。

続きを読む…

Ruby 1.9.1-p129リリース

Ruby 1.9.1-p129がリリースされました。

これはRuby 1.9.1のパッチレベルリリースです。いくつかのバグ修正と2つの脆 弱性修正が含まれます。脆弱性修正がありますので、すべてのRuby 1.9.1利用者 にアップグレードをお勧めします。

所在

脆弱性

  • $SAFE > 0 であっても DL::Function#call が汚染された引数をC関数に渡すこ とができていました。
  • $SAFE > 0 であっても、DL::dlopen が汚染された名前でライブラリを開くこ とができていました。

Ruby 1.8.7-p160 リリース

Ruby 1.8.7-p160がリリースされました。(保守担当の卜部さんによるリリースアナウンス:[ruby-list:45969])

Ruby 1.8.7-p160は安定版であるruby 1.8.7の保守リリースです。 これは先日リリースされた1.8.6系列におけるp368の1.8.7系列版に相当するもので、前回リリース後に発見された多数のバグが修正されています。

今回のリリースのソースアーカイブは以下のURLから入手できます。

続きを読む…

その他のニュース

もっと読む…