Ruby 1.9.3-p194 リリース

Ruby 1.9.3-p194 がリリースされました。

このリリースはRubyGemsに対するセキュリティフィックスを含んでいます。これは、リモートリポジトリへのSSLサーバ検証についてのものです。それ以外にも、多くの修正が含まれています。

RubyGemsに関するセキュリティフィックス: リモートリポジトリへのSSLサーバ検証の修正

このリリースはRubyGemsに関する2つのセキュリティフィックスを含んでいます。

  • SSLサーバ証明書の検証を実行するように修正
  • httpsからhttpへのリダイレクトを許さないよう修正

.gemrcや/etc/gemrcにhttpsのソースを使用しているユーザは、1.9.3-p194にアップグレードすることを推奨します。

以下はRubyGems 1.8.23のリリースノート[1]からの引用です。

「このリリースはRubyGemsがhttpsサーバと通信する際の安全性を高めます。もし、SSL上のカスタムRubyGemsサーバを使われているなら、このリリースはSSL証明書がグローバルに有効なものでなければRubyGemsが接続できなくなります。

RubyGemsがSSL証明書をどのように使うかは、~/.gemrcファイルや/etc/gemrcファイルでの:ssl_ca_cert オプションと :ssl_verify_modeオプションで設定することができます。:ssl_ca_certにはあなたのサーバのCA証明書か、あなたのCA証明書を含む証明書のバンドルファイルを指定することをお勧めします。

なお、:ssl_verify_mode を0にしてSSL証明書のチェックをしないようにすることもできますが、こちらはお勧めしません。」

この問題はJohn Firebaugh氏によって報告されました。

[1] <URL:https://github.com/rubygems/rubygems/blob/1.8/History.txt>

修正点

  • RubyGemsに関するセキュリティフィックス: リモートリポジトリへのSSLサーバ検証の誤りを修正
  • その他のバグ修正

詳しくはチケットもしくはChageLogをご覧ください。

ダウンロード