ruby-langの最新ニュース

Rubyist Magazine 0029号発行

Wed, 17 Mar 2010 05:39:11 GMT

日本Rubyの会有志による、ウェブ雑誌Rubyist Magazineの0029号がリリースされました([ruby-list:46925])。お楽しみください。

2010年2月・3月開催の地域Ruby会議(Regional RubyKaigi)のおしらせ

Mon, 01 Feb 2010 06:01:28 GMT

日本Rubyの会が後援する、小さなRubyKaigiをいろんな地域でやってしまおうというプロジェクトである地域Ruby会議(Regional RubyKaigi)が下記の場所と日程で開催されます。

2/13(土): 松江Ruby会議02
2/28(日): 東京Ruby会議03
3/20(土): 仙台Ruby会議02

松江Ruby会議02,東京Ruby会議02はすでに申し込みが始まっております。仙台Ruby会議02の詳細は決定しだい更新される予定です。

RubyKaigiならびに地域Ruby会議についての最新情報はRubyKaigi日記で都度お知らせしています。あわせてご覧ください。

WEBrickにエスケープシーケンス挿入の脆弱性

Sun, 10 Jan 2010 12:10:15 GMT

Ruby添付ライブラリの一部であるWEBrickに脆弱性が発見されました。 WEBrickは攻撃者が悪意のあるエスケープシーケンスをログに挿入することを許してしまうので、ログを閲覧する際に端末エミュレータで危険な制御文字を実行されることがあります。

この問題は既に修正済みです。直ちにすべてのアクティブなブランチのリリースが行われます。 WEBrickプロセスを更新するまでは、WEBrickのログを閲覧しないことをお奨めします。

詳細

端末エスケープシーケンスは端末とその内部のプロセスとの間の様々なやりとりに用いられます。ここで、ネットワーク入力のような信頼されていない情報源からシーケンスが発行されることは想定されていません。そのため外部の攻撃者がエスケープシーケンスをWEBrickのログに挿入しそのログを閲覧したとすると、攻撃者は端末エミュレータを攻撃する目的に利用することができます[1]。

WEBrickはそのようなエスケープシーケンスをフィルタできていませんでした。

例:

% xterm -e ruby -rwebrick -e 'WEBrick::HTTPServer.new(:Port=>8080).start' &
% wget http://localhost:8080/%1b%5d%32%3b%6f%77%6e%65%64%07%0a

xtermのウィンドウタイトルを見てください。

影響するバージョン

Ruby 1.8.6 patchlevel 383およびそれ以前のすべてのバージョン
Ruby 1.8.7 patchlevel 248およびそれ以前のすべてのバージョン
Ruby 1.8の開発版(1.8.8dev)
Ruby 1.9.1 patchlevel 376およびそれ以前のすべてのバージョン
Ruby 1.9の開発版 (1.9.2dev)

解決法

1.8.6, 1.8.7, および1.9.1のリリースは続報をお待ちください。
- 更新 1.8.7 pl. 249がリリースされました。 1.8.7利用者には更新を推奨します。
- Update 1.9.1 pl. 378がリリースされました。 1.9.1利用者には更新を推奨します。
開発版については、各ブランチの最新リビジョンに更新してください。

クレジット

Giovanni "evilaliv3" Pellerano, Alessandro "jekil" Tanasi, および Francesco "ascii" Ongaroがこの脆弱性を発見しました。

Ruby 1.8.7-p248 リリース

Fri, 25 Dec 2009 10:22:18 GMT

1.8.7に対するバグ修正がたまってきたので、リリースを出すことにしました。

ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p248.tar.gz
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p248.tar.bz2
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p248.zip

リリースノートが間に合わず申し訳ないです。かわりにChangeLogを参照してください。

チェックサムです:

MD5(ruby-1.8.7-p248.tar.gz)= 60a65374689ac8b90be54ca9c61c48e3
SHA256(ruby-1.8.7-p248.tar.gz)= 5c9cd617a2ec6b40abd7c7bdfce3256888134482b22f933a061ae18fb4b48755
SIZE(ruby-1.8.7-p248.tar.gz)= 4831010

MD5(ruby-1.8.7-p248.tar.bz2)= 37e19d46b7d4b845f57d3389084b94a6
SHA256(ruby-1.8.7-p248.tar.bz2)= 3d238c4cf0988797d33169ab05829f1a483194e7cacae4232f3a0e2cc01b6bfc
SIZE(ruby-1.8.7-p248.tar.bz2)= 4153123

MD5(ruby-1.8.7-p248.zip)= 819b9db9bcd4aa9a70f1193380a318c9
SHA256(ruby-1.8.7-p248.zip)= c133ecf35d5509e61443db05c9691bea6c6f63b87600a452b742014767bd98b3
SIZE(ruby-1.8.7-p248.zip)= 5889980

Ruby 1.9.1-p376 リリース

Mon, 07 Dec 2009 05:09:27 GMT

Ruby 1.9.1-p376をリリースしました。これはRuby 1.9.1のパッチレベルリリースで、CVE-2009-4124の修正を含みます。

CVE-2009-4124

以前のバージョンRuby 1.9.1-p243はヒープオーバーフローを許す脆弱性を持っていました。この脆弱性はKPMG LondonのEmmanouel Kellinisによって発見されました。

Ruby 1.9.1のすべてのユーザーにp376へのアップグレードを推奨します。なお、Ruby 1.8系統には影響しません。

その他の修正

また1.9.1.-p376は100超のバグ修正も含みます。

IRBの拡張コマンドが機能していませんでした。
RipperがいくつかのRubyコードを解析できませんでした。
AIXにおけるビルドエラーを修正しました。
Matrixのバグをいくつか修正しました。
ユーザーのホームディレクトリにインストールされたgemをロードできない問題を修正しました。
いくつかのメソッドが正しいエンコーディング情報付きの文字列を返すようになりました。

詳しくはChangeLogをご覧ください。

<URL:http://svn.ruby-lang.org/repos/ruby/branches/ruby_1_9_1/ChangeLog>

所在

<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p376.tar.bz2>

SIZE:

7293106 bytes

MD5:

e019ae9c643c5efe91be49e29781fb94

SHA256:

79164e647e23bb7c705195e0075ce6020c30dd5ec4f8c8a12a100fe0eb0d6783
<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p376.tar.gz>

SIZE:

9073007 bytes

MD5:

ebb20550a11e7f1a2fbd6fdec2a3e0a3

SHA256:

58b8fc1645283fcf3d5be195dffcaf55b7c85cbc210074273b57b835409b21ca
<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p376.zip>

SIZE:

10337871 bytes

MD5:

d4d5e62f65cb92a281f1569a7f25371b

SHA256:

486d3efdab269040ce7142964ba3a4e0d46f0a5b812136bcac7e5bafc726c14e

Stringのヒープオーバーフロー

Mon, 07 Dec 2009 04:56:48 GMT

String#ljust, String#centerおよびString#rjustにヒープオーバーフローが発見されました。これはある稀なケースにおいて攻撃者に任意のコードの実行を許します。

CVE-2009-4124

脆弱性の存在するバージョン

Ruby 1.9.1のすべてのリリース

この脆弱性はRuby 1.8系統には影響しません。

対処方法

Ruby 1.9.1-p376にアップグレードしてください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p376.tar.bz2>

クレジット

この脆弱性はKPMG LondonのEmmanouel KellinisによりRubyセキュリティチームに報告されました。

変更履歴

2009-12-07 14:27 +0900 CVEへのリンクを追加しました。なお本記事執筆時点でCVE側では情報が開示されていません。

2009年11月・12月開催の地域Ruby会議(Regional RubyKaigi)のおしらせ

Tue, 03 Nov 2009 10:02:21 GMT

11/6(金),11/7(土): 関西Ruby会議02
11/29(日): TokyuRuby会議01
12/5(土): 札幌Ruby会議02

札幌Ruby会議02はすでに申し込みが始まっております。関西Ruby会議02は受付不要です。TokyuRuby会議01は11月中旬頃に申し込み開始予定です。

2010年以降もいくつかの地域Ruby会議の開催が予定されています。最新情報はRubyKaigi日記で都度お知らせしています。

rubyist.netのサービス停止

Wed, 07 Oct 2009 05:58:56 GMT

ハードウェア障害のため、現在www.rubyist.netやjp.rubyist.netのサービスが停止しています。 2009/10/8中にはサービスを再開できる見込みです。

ご迷惑をおかけしますが、よろしくお願いします。

2009/10/8追記: サービスを再開しました。お待たせました。

2009年10月開催の地域Ruby会議(Regional RubyKaigi)のおしらせ

Tue, 06 Oct 2009 04:41:10 GMT

10/10(土): 名古屋Ruby会議01
10/24(土): とちぎRuby会議02

いずれも残席わずかとなっております。参加を検討されている方はお早めに申し込みください。

2009年11月以降も各地で地域Ruby会議の開催が予定されています。最新情報はRubyKaigi日記で都度お知らせしています。

Rubyist Magazine 0027号発行

Sun, 13 Sep 2009 06:44:53 GMT

日本Rubyの会有志による、ウェブ雑誌Rubyist Magazineの0027号がリリースされました([ruby-list:46390])。お楽しみください。

ruby-langの最新ニュース

Rubyist Magazine 0029号 発行

2010年2月・3月開催の地域Ruby会議(Regional RubyKaigi)のおしらせ

WEBrickにエスケープシーケンス挿入の脆弱性

詳細

影響するバージョン

解決法

クレジット

Ruby 1.8.7-p248 リリース

Ruby 1.9.1-p376 リリース

CVE-2009-4124

その他の修正

所在

Stringのヒープオーバーフロー

脆弱性の存在するバージョン

対処方法

クレジット

変更履歴

2009年11月・12月開催の地域Ruby会議(Regional RubyKaigi)のおしらせ

rubyist.netのサービス停止

2009年10月開催の地域Ruby会議(Regional RubyKaigi)のおしらせ

Rubyist Magazine 0027号 発行

Rubyist Magazine 0029号発行

Rubyist Magazine 0027号発行