2017年09月のアーカイブ

Ruby の標準添付ライブラリである WEBrick で BASIC 認証を使用した場合、攻撃者により悪意のあるエスケープシーケンスをログに挿入されうる脆弱性が発見されました。 この脆弱性は、CVE-2017-10784 として登録されています。

Kernel モジュールの sprintf メソッドにおいて、特殊なフォーマット文字列を指定した場合に、バッファーアンダーランが発生し、状況によってはヒープの中身が外部から閲覧可能となりうるという脆弱性が発見されました。 この脆弱性は、CVE-2017-0898 として登録されています。

Ruby 2.3.5 がリリースされました。 これは安定版 2.3 系列の TEENY リリースです。

Ruby 2.2.8 がリリースされました。 今回のリリースでは、以下のセキュリティ上の問題への対応が行われています。

Ruby の標準添付ライブラリである OpenSSL の OpenSSL::ASN1 モジュールの decode メソッドにおいて、特殊な引数を渡された場合に、バッファーアンダーランが発生し、状況によってはヒープの中身が外部から閲覧可能となりうるという脆弱性が発見されました。 この脆弱性は、CVE-2017-14033 として登録されています。

Ruby の標準添付ライブラリである JSON の JSON モジュールの generate メソッドにおいて、特殊な引数を渡された場合に、状況によってはヒープの中身が外部から閲覧可能となりうるという脆弱性が発見されました。 この脆弱性は、CVE-2017-14064 として登録されています。

Ruby 2.4.2 がリリースされました。 このリリースにはいくつかの脆弱性修正が含まれています。