ruby-langの最新ニュース

BigDecimal の DoS 脆弱性

Wed, 10 Jun 2009 01:20:42 GMT

Ruby標準ライブラリの一つであるBigDecimalに、DoS(Denial Of Service)状態を引き起こしてしまう脆弱性が存在することが発見されました。 BigDecimalオブジェクトから浮動小数点数(Float)への変換に問題があり、攻撃者はsegmentation faultsを引き起こすことができます。

ActiveRecordライブラリはこのメソッドを使用しているため、多くのRailsアプリケーションはこの脆弱性の影響を受けます。しかしながら、これはRailsのみの問題ではなく、Rubyアプリケーション全体に影響の起こりうる問題です。

影響

攻撃者は巨大なBigDecimalの数値を変換することにより、DoS状態を引き起こすことができます。その一例を以下に示します。

 BigDecimal("9E69999999").to_s("F")

脆弱性の存在するバージョン

1.8系

1.8.6-p368 とそれ以前の全てのバージョン
1.8.7-p160 とそれ以前の全てのバージョン

1.9系

(1.9.1の全てのバージョンはこの問題の影響を受けません)

解決方法

1.8系

1.8.6-p369 または ruby-1.8.7-p174 にアップグレードしてください。

更新情報

Ruby 1.8.7-p173 には問題がありました。すでにダウンロード済みの場合は、より新しいバージョンを再度取得してください。なお Ruby 1.8.6-p369 にはこの問題はありません。

Ruby 1.9.1-p129リリース

Tue, 12 May 2009 08:44:44 GMT

Ruby 1.9.1-p129がリリースされました。

これはRuby 1.9.1のパッチレベルリリースです。いくつかのバグ修正と2つの脆弱性修正が含まれます。脆弱性修正がありますので、すべてのRuby 1.9.1利用者にアップグレードをお勧めします。

所在

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.tar.bz2>

SIZE:   7183891 bytes
MD5:    6fa62b20f72da471195830dec4eb2013
SHA256: cb730f035aec0e3ac104d23d27a79aa9625fdeb115dae2295de65355f449ce27

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.tar.gz>

SIZE:   9034947 bytes
MD5:    c71f413514ee6341c627be2957023a5c
SHA256: 27b7a8ace1d17cec237020ae9355230b53f8c3875f8d942de903e7d58d14253b

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.zip>

SIZE:   10299369 bytes
MD5:    156305e9633758eb60b419fabc33b6e4
SHA256: 6cbf0eda4ba0afedd8f0bd320e6a14f826149ef517d8bb967149af0558b0743b

脆弱性

$SAFE > 0 であっても DL::Function#call が汚染された引数をC関数に渡すことができていました。
$SAFE > 0 であっても、DL::dlopen が汚染された名前でライブラリを開くことができていました。

Ruby 1.8.7-p160 リリース

Thu, 16 Apr 2009 00:34:57 GMT

Ruby 1.8.7-p160がリリースされました。(保守担当の卜部さんによるリリースアナウンス:[ruby-list:45969])

Ruby 1.8.7-p160は安定版であるruby 1.8.7の保守リリースです。これは先日リリースされた1.8.6系列におけるp368の1.8.7系列版に相当するもので、前回リリース後に発見された多数のバグが修正されています。

今回のリリースのソースアーカイブは以下のURLから入手できます。

それぞれのチェックサムは以下の通りです。

MD5(ruby-1.8.7-p160.tar.gz)= 945398f97e2de6dd8ab6df68d10bb1a1
SHA256(ruby-1.8.7-p160.tar.gz)= 47c3d1ae6b3dbda230d04f258304516fc1da571fa757d5e1d8d0104b49045530
SIZE(ruby-1.8.7-p160.tar.gz)= 4818817

MD5(ruby-1.8.7-p160.tar.bz2)= f8ddb886b8a81cf005f53e9a9541091d
SHA256(ruby-1.8.7-p160.tar.bz2)= e524a086212d2142c03eb6b82cd602adcac9dcf8bf60049e89aa4ca69864984d
SIZE(ruby-1.8.7-p160.tar.bz2)= 4137518

MD5(ruby-1.8.7-p160.zip)= 06319bafa225df47fe26dfb52bc174a7
SHA256(ruby-1.8.7-p160.zip)= c56fefbb9e7e186bf9feeb864793ad2a53062ce871b47ab0170316e38f738995
SIZE(ruby-1.8.7-p160.zip)= 5876269

変更点のリストは同梱のChangeLogを参照してください。以下のURLでも参照することができます。

<URL:http://svn.ruby-lang.org/repos/ruby/tags/v1_8_7_160/ChangeLog>

Ruby 1.8.6-p368 リリース

Thu, 02 Apr 2009 07:06:53 GMT

Ruby 1.8.6-p368がリリースされました。(保守担当の卜部さんによるリリースアナウンス:[ruby-list:45951])

Ruby 1.8.6-p368は、安定版であるruby 1.8.6の保守リリースです。このリリースにはセグメンテーション違反を含む多数のバグの修正が盛り込まれています。また、CVE-2007-1558およびCVE-2008-1447に対する問題回避修正も含まれています。

なお、今回は1.8.7系については同時にはリリースされていませんが、近日中に残存する幾つかの問題を修正した上でリリースされる予定です。

今回のリリースのソースアーカイブは以下のURLから入手できます。

それぞれのチェックサムは以下の通りです。

MD5(ruby-1.8.6-p368.tar.gz)= 508bf1911173ac43e4e6c31d9dc36b8f
SHA256(ruby-1.8.6-p368.tar.gz)= cc8cad3edd02d8c2de3c63a7d8a5cb85af39766dd47360a9c0f26339b101e2a0
SIZE(ruby-1.8.6-p368.tar.gz)= 4602095

MD5(ruby-1.8.6-p368.tar.bz2)= 623447c6d8c973193aae565a5538ccfc
SHA256(ruby-1.8.6-p368.tar.bz2)= 1bd398a125040261f8e9e74289277c82063aae174ada9f300d2bea0a42ccdcc1
SIZE(ruby-1.8.6-p368.tar.bz2)= 3967709

MD5(ruby-1.8.6-p368.zip)= 3d301a4b1aded1922570585bbece2c29
SHA256(ruby-1.8.6-p368.zip)= 8ba4bfd14d2914bfe2c18ffa9da084234be978fd0eee654f7a5c732a1beb0246
SIZE(ruby-1.8.6-p368.zip)= 5619494

変更点のリストは同梱のChangeLogを参照してください。以下のURLでも参照することができます。

<URL:http://svn.ruby-lang.org/repos/ruby/tags/v1_8_6_368/ChangeLog>

Ruby 1.9.1 リリース!!

Fri, 30 Jan 2009 18:03:07 GMT

たいへんお待たせしました。Ruby 1.9.1 が、ついにリリースされました (リリースについてのアナウンス:[ruby-list:45836])。本リリースは、Ruby 1.9系統の、初めての公式な安定版のリリースとなります。

Ruby 1.9はRubyの新しい系統です。近代的に、高速に、文法も明確に、多言語化
され、多くの改善がなされました。Ruby 1.8系統は2003年以来利用され、多くの
素晴らしい製品を生み出しました。本日、1.9の歴史が始まります。
　——[ruby-list:45836]より引用

変更点

Ruby 1.9.1は1.8から数多くの改良が加えられています。 1.8.7以来の主な変更点は下記URLから参照できます。

<URL:http://svn.ruby-lang.org/repos/ruby/tags/v1_9_1_0/NEWS> (英語)

また、1.9.1 RC2と比較しても、7つのバグが修正され、より安定度が増しています。

<URL:http://redmine.ruby-lang.org/projects/ruby-19/issues?query_id=11>

もしバグや問題を発見なさいましたら、公式課題追跡システムを通じてお知らせください。

(2009/02/01 追記) なお、Ruby 1.9.1で加えられた改良により、1.8で動いていたプログラムやライブラリが1.9で動かないことがあります。その場合は、プログラムやライブラリを1.9に対応するよう修正するか、1.8の最新版である1.8.7の利用を検討してください。 1.8系の保守も、しばらくは継続される予定です。

入手方法

ソースコードは以下のURLから入手できます。3種類のフォーマットから選んでください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.tar.bz2>

SIZE:   7190271 bytes
MD5:    0278610ec3f895ece688de703d99143e
SHA256: de7d33aeabdba123404c21230142299ac1de88c944c9f3215b816e824dd33321

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.tar.gz>

SIZE:   9025004 bytes
MD5:    50e4f381ce68c6de72bace6d75f0135b
SHA256: a5485951823c8c22ddf6100fc9e10c7bfc85fb5a4483844033cee0fad9e292cc

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.zip>

SIZE:   10273609 bytes
MD5:    3377d43b041877cda108e243c6b7f436
SHA256: 00562fce4108e5c6024c4152f943eaa7dcc8cf97d5c449ac102673a0d5c1943b

サーバメンテナンスのお知らせ

Wed, 28 Jan 2009 07:41:02 GMT

日本時間の2009/1/31 10:00-15:00の間、サーバメンテンスのためruby-lang.orgのサービスを停止します。ご迷惑をおかけしますが、よろしくお願いします。

Ruby 1.9.1 RC2 公開

Wed, 21 Jan 2009 19:26:15 GMT

[ruby-list:45801]にて、リリースマネージャのYuguiさんより、Ruby 1.9.1 RC2のリリースのアナウンスがありました。

ソースコードは以下のURLよりダウンロードできます。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-rc2.tar.bz2>

SIZE:   7189157 bytes
MD5:    f113cec7a1a447243575d39ed611ddda
SHA256: acb5061123fa7170597e713ef773e21ddd9dd167f27aaae2c5440b5ec12df2ec

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-rc2.tar.gz>

SIZE:   9027293 bytes
MD5:    7a2e4e16361ebf33b2032f366ceef785
SHA256: 195228054af5f557e407e88a8be1e35e6ea997132cd9e4e7d6ccacfc37fb04d7

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-rc2.zip>

SIZE:   10286594 bytes
MD5:    1160c08515904be2557eba9e5f8c89a3
SHA256: e8329729e5138ff45617d68a7f96cbe027da7967d64d8700944315fd145b5194

1.8.7からの変更点は以下のURLにあります。

<URL:http://svn.ruby-lang.org/repos/ruby/tags/v1_9_1_rc2/NEWS>

1.9.1 RC1から修正された点は以下のURLにあります。

<URL:http://redmine.ruby-lang.org/projects/ruby-19/issues?query_id=7>

いよいよ1.9.1の正式リリースが近づいていますが、正式リリース版の品質向上のため、ぜひこのRC2を試してみてください。そして、バグやその他の問題を見つけた場合、下記URLの公式課題追跡システムよりご報告ください。

<URL:http://redmine.ruby-lang.org/projects/show/ruby-19>

Ruby 1.9.1 RC1 公開とリリース前のプレビューのお願い

Wed, 31 Dec 2008 07:52:22 GMT

[ruby-list:45758]にて、リリースマネージャのYuguiさんより、Ruby 1.9.1 RC1のリリースのアナウンスがありました。

『これは、1.9系統初の安定版となるRuby 1.9.1のリリース候補
のようなものです。是非お試しになって、速度、文法の明瞭さ、
多言語化など改善されたRubyを体験してください。』
  ([ruby-list:45758]より)

ソースコードは以下のURLよりダウンロードできます。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-rc1.tar.bz2>

SIZE:   6181532 bytes
MD5:    d440c030131903e72a6152149a097af3
SHA256: 35acfb6b8d9dd9159ef308ac763c629092cda2e8c9f41254e72a7b9fa454c27f

<URL:ftp://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-rc1.tar.gz>

SIZE:   7425278 bytes
MD5:    b145bc39667f27c018b188c812f07ca6
SHA256: a5d41b58bb9a379b3a98713c07a17757c853413104694036d9885559163f5518

<URL:ftp://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-rc1.zip>

SIZE:   8695438 bytes
MD5:    91ca7ebd3fe4ad577d08963e81e79c82
SHA256: c29f8eba5852e4245348ecd350ea58de794a3c4f36b69177843a81f848dcc6ef

また、artonさんより、MSwin32用インストールパッケージのアナウンスもありました[ruby-list:45759]。こちらは以下のURLよりダウンロードできます。

<URL:http://arton.no-ip.info/data/asr/Ruby-1.9.1.msi>

SIZE:   9,917,440 bytes
MD5:    d160524af1cf859815bd09ac62f1977b

1.9.1 RC1までに修正・対応が行われた課題は、以下のURLより確認できます。

<URL:http://redmine.ruby-lang.org/projects/ruby-19/issues?query_id=9>

RC1ではまだ対応が行われていない課題は、以下のURLです。

<URL:http://redmine.ruby-lang.org/projects/ruby-19/issues?query_id=7>

それ以外に、RC1を使ってバグや問題に遭遇した場合は、課題追跡システムを使ってお知らせください。

<URL:http://redmine.ruby-lang.org>

みなさまのご協力を心よりお待ちしています。

REXMLのDoS脆弱性

Sat, 23 Aug 2008 07:56:39 GMT

Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。

Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。

影響

攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をREXMLに解析させることにより、サービス不能(DoS)状態を引き起こすことができます。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE member [
  <!ENTITY a "&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;">
  <!ENTITY b "&c;&c;&c;&c;&c;&c;&c;&c;&c;&c;">
  <!ENTITY c "&d;&d;&d;&d;&d;&d;&d;&d;&d;&d;">
  <!ENTITY d "&e;&e;&e;&e;&e;&e;&e;&e;&e;&e;">
  <!ENTITY e "&f;&f;&f;&f;&f;&f;&f;&f;&f;&f;">
  <!ENTITY f "&g;&g;&g;&g;&g;&g;&g;&g;&g;&g;">
  <!ENTITY g "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">
]>
<member>
&a;
</member>

脆弱性の存在するバージョン

1.8系

1.8.6-p287以前のすべてのバージョン
1.8.7-p72以前のすべてのバージョン

1.9系

すべてのバージョン

対処方法

問題を修正するためのモンキーパッチ(実行時にライブラリを修正するパッチ)をダウンロードしてください。

<URL:http://www.ruby-lang.org/security/20080823rexml/rexml-expansion-fix2.rb>

REXMLを使用する前にrexml-expansion-fix2.rbをロードするように、あなたのアプリケーションを修正してください。

require "rexml-expansion-fix2"
...
doc = REXML::Document.new(str)
...

Railsアプリケーションを利用している場合、rexml-expansion-fix2.rbをロードパス上のディレクトリ(たとえばRAILS_ROOT/lib/)にコピーし、次のような行を config/environment.rbに追加してください。

require "rexml-expansion-fix2"

Rails 2.1以降の場合、rexml-expansion-fix2.rbを RAILS_ROOT/config/initializersにコピーするだけで自動的にロードされます。

デフォルトでは、XML実体参照の展開は10000回に制限されます。この値は、REXML::Document.entity_expansion_limit=により変更可能です。

REXML::Document.entity_expansion_limit = 1000

この修正はgemパッケージとして提供され、Railsの将来のバージョンで利用されるようになる予定ですが、ただちに対策されることを推奨します。

クレジット

この脆弱性はACROS SecurityのLuka Treiber氏とMitja Kolsek氏により Ruby Security Teamに報告されました。

脆弱性を修正するためのモンキーパッチはRails Core TeamのMichael Koziarski氏により作成されました。

変更履歴

2008-08-29 18:53 +09:00 Rails固有の問題との誤解を与えないように概要を修正しました。
2008-11-09 12:40 +09:00 モンキーパッチのバグを修正しました。

プラットフォームメンテナ募集のお知らせ

Wed, 20 Aug 2008 06:34:27 GMT

Rubyコア開発陣はいくつかのプラットフォームにおけるRuby 1.9のメンテナを募集しています。

メンテナを募集しているプラットフォーム

cygwin
Interix
Itanium platforms (Windows, GNU/Linux, ...)
PPC platforms
x64 GNU/Linux
*BSD
BeOS (Haiku)
OpenVMS
WinCE
OS/2
bcc32
Classic MacOS

メンテナにお願いしたいのは次の内容です。

ruby-core@ruby-lang.org と ruby-dev@ruby-lang.org を購読する
そのプラットフォームが pthread 実装を持っていない場合は thread_{win32, pthread}.c を移植する。
その他のビルドエラーやプラットフォーム固有の問題を解決する
日々Rubyのtrunkをビルド・テストする
12月20日までに"make test-all"に成功するように努力する

もしお願いできますなら、ruby-dev@ruby-lang.org にメールを送って立候補してください。

危機に瀕するプラットフォーム

次のプラットフォームではかつてRubyがメンテナンスされていましたが今はされていません。誰かがメンテナにならない限りRuby 1.9はそのプラットフォームでは動作しなくなるでしょう。

OpenVMS
WinCE
OS/2
Classic MacOS
bcc32
djgpp
human68k

参考

[ruby-list:45267] [ANN] Ruby 1.9.0-3リリース
[ruby-list:45345] 「サポートレベル」の定義、1.9.1のサポート予定プラットフォーム、メンテナ募集