ruby-langの最新ニュース

日本Ruby会議2008チケット発売開始

Sat, 10 May 2008 08:54:18 GMT

5月10日より日本Ruby会議2008のチケットの発売が開始されました。

日本Ruby会議は、日本でのRubyに関する単独のイベントとしては最大規模のものであり、今年は6月20日、21日、22日の3日間にわたり、つくば国際会議場にて開催されます。今回は会場も大ホールと多目的ホールに分かれ、昨年以上の規模で行う予定です（チケットが必要となるのは大ホールでの企画で、多目的ホールへの入場はチケット不要です）。

より詳しい情報は日本Ruby会議2008のサイトをご覧ください。みなさまの参加を心よりお待ちしております。

Ruby 1.8.7-preview2 公開

Sat, 26 Apr 2008 04:16:06 GMT

[ruby-dev:34462]にて、MUSHAさんより、 ruby 1.8.7 preview2 を公開したとのアナウンスがありました。

ソースコードは以下のURLから入手可能です。

チェックサムは以下のとおりです。

MD5 (ruby-1.8.7-preview2.tar.bz2) = aea3c408133a4a292198afa4b6b73af4
SHA256 (ruby-1.8.7-preview2.tar.bz2) = d02c1d22bff5c8365aa4adb25387950c0b58206a18cb18afcc4f2bd9401997e5
SIZE (ruby-1.8.7-preview2.tar.bz2) = 4013909
MD5 (ruby-1.8.7-preview2.tar.gz) = 776ca41fbc0b5c8d83c184cc79c3b622
SHA256 (ruby-1.8.7-preview2.tar.gz) = e969a88f91b26033e32f103e2db352d34a604c826789a1eb748fcb971fc9f602
SIZE (ruby-1.8.7-preview2.tar.gz) = 4714063
MD5 (ruby-1.8.7-preview2.zip) = b70c39942184101f6f3a9cd1eb245a12
SHA256 (ruby-1.8.7-preview2.zip) = 719ab45df2ca80bebf6e5e722778126f648e41a114d0d055a07837bb6fe55ee5
SIZE (ruby-1.8.7-preview2.zip) = 5797584

1.8.7での変更点は、以下のページを参考にしてください。

何か問題点等を見つけられた方は、ruby-dev MLか、下記のBTSの方まで、お早めにご連絡ください。よろしくお願いします。

<URL:http://rubyforge.org/tracker/?atid=22040&group_id=426&func=browse>

WEBrickの非公開ファイルにアクセスされる脆弱性について

Mon, 03 Mar 2008 15:00:36 GMT

Rubyに標準で添付されているWEBrickライブラリにおいて、このライブラリに含まれるローカルファイルシステム上のファイル (およびディレクトリ)を公開する機能を使用した場合に、公開を意図していないリソースにアクセスが可能となる問題が発見されました。

特に、Windowsでこの機能を利用した場合には、ディレクトリトラバーサルにより、プロセスの権限で読み取り可能な任意のファイルに対するアクセスが可能となります。

影響

この脆弱性は以下の状況で発生します。

WEBrick::HTTPServer.newの引数として、 :DocumentRootを指定してファイルを公開する場合
WEBrick::HTTPServlet::FileHandlerサーブレットを利用してファイルを公開する場合

この脆弱性は以下の環境で発生します。

パスの区切り文字としてバックスラッシュを使用できるシステム(Windowsなど)
ファイルにアクセスする際にパス名の大文字と小文字を区別しないファイルシステム(WindowsのNTFSやMacOSXのHFSなど) を利用しているシステム

この脆弱性により以下のような影響があります。

以下のようにURLにエンコードされたバックスラッシュ(\)を含めることにより、公開対象のディレクトリ以外のファイルにアクセスされる恐れがあります。これはWindowsのようにパスの区切り文字としてバックスラッシュを使用するシステムに限ります。

例:
```
http://[server]:[port]/..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/boot.ini
```
FileHandlerの設定項目の:NondisclosureName で指定されたパターン(デフォルト値は[".ht*", "*~"]) にマッチするファイルにアクセスされる恐れがあります。これは大文字・小文字を区別しないファイルシステムを利用している場合に限ります。

脆弱性の存在するバージョン

1.8系

1.8.4以前の全てのバージョン
1.8.5-p114以前の全てのバージョン
1.8.6-p113以前の全てのバージョン

1.9系

1.9.0-1以前の全てのバージョン

各バージョンでの対応方法

各バージョンでの対応方法を以下に記載します。

1.8系

1.8.5-p115または1.8.6-p114に更新してください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p115.tar.gz> (md5sum: 20ca6cc87eb077296806412feaac0356)
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p114.tar.gz> (md5sum: 500a9f11613d6c8ab6dcf12bec1b3ed3)

1.9系

以下のパッチを適用してください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-1-webrick-vulnerability-fix.diff> (md5sum: b7b58aed40fa1609a67f53cfd3a13257)

Rubyのパッケージを配布している各ベンダから、この脆弱性を修正した版のパッケージが提供されている場合もあります。詳細については各ベンダにお問い合わせください。

クレジット

この脆弱性はDigital Security Research Group (http://dsec.ru/)により Ruby Security Teamに報告されました。

Ruby 1.9.0-1 スナップショット公開

Sat, 01 Mar 2008 09:05:18 GMT

[ruby-dev:33947]にて、まつもとさんより、ruby 1.9.0-1を公開したとのアナウンスがありました。

MD5 sumの値は以下になります。

※再パッケージが行われたため、当初の公開時とはmd5 sumの値が異なっています。恐れ入りますがご了承ください。

4344e18188bbdf3e5f19cdd3ade902bb ruby-1.9.0-1.tar.bz2 90b721dce088f455df914c9482508601 ruby-1.9.0-1.tar.gz 8e89b49e473ac1c209e3c73a6fd6610f ruby-1.9.0-1.zip

なお、1.9.0は安定版ではなく開発版という位置づけであり、1.9.0-1は何かしらのリリース版というよりも、3月1日時点でのスナップショットになります。1.9.0にあったバグの中には、修正されたものもあれば、修正されていないものもあります。もしまだ修正されていないバグを見つけた場合は、ぜひご連絡ください。

2008/03/02 00:16 追記: 当初公開されたファイルはパッケージに問題があり、再パッケージングが行われています([ruby-dev:33951])。3/1の23時以前に取得された方は、お手数ですが再度取得をしなおし、md5 sumを確認してからご利用ください。ご迷惑をおかけしてしまい大変申し訳ありませんが、よろしくお願いいたします。

Ruby公式ロゴ公開

Wed, 09 Jan 2008 08:36:21 GMT

Ruby公式ロゴのデータがダウンロード可能になりました。

Illustrator/SVG/PDF/PNGの各形式が利用可能です。 Creative Commons Attribution-Share Alikeライセンスに従ってご利用ください。

Ruby 1.9.0 リリース!

Tue, 25 Dec 2007 16:34:08 GMT

お待たせしました。Ruby 1.9.0 がリリースされました (リリースについてのアナウンス:[ruby-list:44387])。ただし、本リリースは、当初予定していたRuby 1.9.1 ではなく、 Ruby 1.9.0となっています。これは、Ruby 1.9.1として期待していたほどの安定したものではないためです。しかしながら、予定していた非互換な変更はすべて取り入れられています[ruby-dev:32713])。ご了承ください。

ソースコードは以下のURLから入手できます。 3種類のフォーマットから選んでください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-0.tar.bz2>
```
(md5: 407cc7d0032e19eb12216c0ebc7f17b3, size: 4999262)
```
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-0.tar.gz>
```
(md5: b20cce98b284f7f75939c09d5c8e846d, size: 5923616)
```
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-0.zip>
```
(md5: 78b2a5f9a81c5f6775002c4fb24d2d75, size: 6963464)
```

1.8.x との互換性情報を含む変更点のリストは、同梱の NEWS およびChangeLog を参照してください。以下のURLでも閲覧できます。

「Rubyリファレンスマニュアル刷新計画」1.9.0リリース

Tue, 25 Dec 2007 13:52:41 GMT

リリースを間近に控えたRuby本体に先がけ、「Rubyリファレンスマニュアル刷新計画」のリリースパッケージが公開されました。

Rubyリファレンスマニュアル刷新計画は2006年初頭に青木峰郎さんによって始められたプロジェクトで、Rubyの完全な日本語リファレンスを作ることを目標に活動しています。

ダウンロード

パッケージ版(1.8.6/1.9.0):
- ruby-refm-1.9.0-dynamic.tar.bz2 (2.8MB)
- ruby-refm-1.9.0-dynamic.tar.gz (4.5MB)
- ruby-refm-1.9.0-dynamic.zip (15MB)
chm版:
- ruby-refm-1.8.6-chm.zip (1.8.6, 5.4MB)
- ruby-refm-1.9.0-chm.zip (1.9.0, 5.4MB)
Webからの閲覧:
- http://doc.loveruby.net/refm/api/

また、ftp://ftp.ruby-lang.org/pub/ruby/doc/ や、http://www.ruby-lang.org/ja/downloads/ の各ミラーサイトからもダウンロードできるようになる予定です。

パッケージ版にはコンパイル済みのデータベースと、コマンドライン用のリファレンス検索ツール「refe」の最新版が同梱されています。またWEBrick を利用した簡易Webサーバが含まれており、ネットワークがない環境でもWeb ブラウザでリファレンスが見られるようになっています。詳しい使い方はプロジェクトのWikiページを参照してください。

新リファレンスの特徴

組み込みライブラリのほぼ全てのメソッドに対し、内容の見直しを行いました。ruby 1.8.6 に対応しています (1.9.0には一部対応)。
各メソッドに対し、引数・返り値の情報が付加されました。
使用するRubyのバージョンに合わせたリファレンスを表示できるようになりました。
書式のフォーマットがより厳密に規定されたので、よりプログラムで処理し易いデータを提供できるようになりました。

今後の予定

ruby 1.9.0への完全対応
添付ライブラリへの完全対応
「Ruby言語仕様」「Rubyの文法」のリライト
管理システムの改善 (静的HTMLやinfo形式でのリファレンス提供等)

…などなど、「Rubyリファレンスマニュアル刷新計画」はまだまだたくさんの方の助力を必要としています。協力していただける方は、HowToJoinを参考にメーリングリストにご参加ください。

たくさんの方のご参加をお待ちしています。

Rubyist Magazine 0022号発行

Tue, 25 Dec 2007 02:57:32 GMT

日本Rubyの会有志による、ウェブ雑誌Rubyist Magazineの0022号がリリースされました([ruby-list:44365])。お楽しみください。

net/httpsライブラリにおける「中間者によるなりすまし攻撃」に対する脆弱性について

Thu, 04 Oct 2007 04:12:28 GMT

Rubyに標準で添付されているnet/httpsライブラリ(net/https.rb)において、このライブラリを使用してhttpsプロトコルを発行した場合、中間者によるなりすまし攻撃(man-in-the-middle attack)を検出できないという問題が発見されました。

この脆弱性については、<URL:http://www.isecpartners.com/advisories/2007-006-rubyssl.txt>として公開されています。

影響

net/http.rbでは、SSL接続の際に、証明書のCNがリクエスト先のDNS名に対して検証されません。これにより、攻撃者がリクエスト先のサーバになりすますことが可能になります。

脆弱性の存在するバージョン

1.8系: 1.8.4以前の全てのバージョン、1.8.5-p113以前のバージョン、1.8.6-p110以前のバージョン
開発版(1.9系): 2007-09-23より前の全てのバージョン

各バージョンでの対応方法

1.8系

1.8.6-p111または1.8.5-p114にアップグレードしてください。

チェックを有効にするためには、以下のようにNet::HTTP#enable_post_connection_check=を使用する必要があります。

http = Net::HTTP.new(host, 443)
http.use_ssl = true
http.enable_post_connection_check = true
http.verify_mode = OpenSSL::SSL::VERIFY_PEER
store = OpenSSL::X509::Store.new
store.set_default_paths
http.cert_store = store
http.start {
  response = http.get("/")
}

また、Rubyのパッケージを配布している各ベンダから、それぞれ、この脆弱性を修正した版のパッケージが提供されている場合もあります。詳細については各ベンダにお問い合わせください。

開発版(1.9系)

2007-09-23以降のバージョンに更新してください。 Ruby 1.9では、Net::HTTP#enable_post_connection_checkはデフォルトでtrueになっています。

変更履歴

2007-10-04 16:30 +09:00 「影響」の「DNS応答を詐称」という表現が不適切でしたので修正しました。
2007-10-04 16:30 +09:00 「各バージョンでの対応方法」にenable_post_connection_checkに関する説明を追記しました。

Rubyist Magazine 0021号発行

Sat, 29 Sep 2007 14:06:55 GMT

日本Rubyの会有志による、ウェブ雑誌Rubyist Magazineの0021号がリリースされました([ruby-list:44063])。

今号は3周年記念号でもあります。お楽しみください。

ruby-langの最新ニュース

日本Ruby会議2008チケット発売開始

Ruby 1.8.7-preview2 公開

WEBrickの非公開ファイルにアクセスされる脆弱性について

Ruby 1.9.0-1 スナップショット公開

Ruby公式ロゴ公開

Ruby 1.9.0 リリース!

「Rubyリファレンスマニュアル刷新計画」1.9.0リリース

ダウンロード

新リファレンスの特徴

今後の予定

Rubyist Magazine 0022号 発行

net/httpsライブラリにおける「中間者によるなりすまし攻撃」に対する脆弱性について

Rubyist Magazine 0021号 発行

Rubyist Magazine 0022号発行

Rubyist Magazine 0021号発行