最近のニュース

Ruby 2.6.0-preview2 Released

Ruby 2.6.0に向けた二回目のプレビューである、Ruby 2.6.0-preview2がリリースされました。

もっと読む...

Ruby 2.5.1 リリース

Ruby 2.5.1 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。

もっと読む...

Ruby 2.4.4 リリース

Ruby 2.4.4 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。

もっと読む...

Ruby 2.3.7 リリース

Ruby 2.3.7 がリリースされました。 これは安定版 2.3 系列の TEENY リリースです。

もっと読む...

Ruby 2.2.10 リリース

Ruby 2.2.10 がリリースされました。 今回のリリースでは、以下のセキュリティ上の問題への対応が行われています。

もっと読む...

CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性について

Ruby の標準添付ライブラリである tmpdir で、攻撃者により任意のディレクトリを一時ディレクトリ作成場所として指定可能な脆弱性が発見されました。また、同じく標準添付ライブラリである tempfile も内部で tmpdir を使用しているため、同様に任意のディレクトリを一時ファイル作成場所として指定可能となっていました。 この脆弱性は、CVE-2018-6914 として登録されています。

もっと読む...

CVE-2018-8779: UNIX ドメインソケットにおいて NUL 文字挿入により意図しないソケットにアクセスされうる脆弱性について

Ruby の標準添付ライブラリである socket のメソッド UNIXServer.open で、ソケット名として指定された文字列中に NUL 文字を挿入しておくことによって、意図しないパス名でソケットが生成されうるという脆弱性が発見されました。 また、同じく UNIXSocket.open メソッドにおいても、ソケット名として指定された文字列に NUL 文字を挿入しておくことによって、意図しないパス名のソケットにアクセスしうるという脆弱性も発見されました。 この脆弱性は、CVE-2018-8779 として登録されています。

もっと読む...

CVE-2018-8780: Dir において NUL 文字挿入により意図しないディレクトリにアクセスされうる脆弱性について

Ruby の組み込みクラス Dir のいくつかのメソッドにおいて、ディレクトリ名として渡された引数文字列中に NUL 文字を挿入しておくことによって、意図しないディレクトリにアクセスしうるという脆弱性が発見されました。 この脆弱性は、CVE-2018-8780 として登録されています。

もっと読む...

CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性について

Ruby の標準添付ライブラリである WEBrick で、攻撃者により巨大なリクエストが送信された場合、メモリを浪費して DoS が成立しうる脆弱性が発見されました。 この脆弱性は、CVE-2018-8777 として登録されています。

もっと読む...

CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性について

Ruby の標準添付ライブラリである WEBrick で、攻撃者により偽の HTTP レスポンス生成を許してしまう脆弱性が発見されました。 この脆弱性は、CVE-2017-17742 として登録されています。

もっと読む...