2018年のアーカイブ
Ruby 2.6.0-rc2 Released
Ruby 2.6.0に向けた二番目のリリース候補である、Ruby 2.6.0-rc2がリリースされました。
Posted by naruse on 15 Dec 2018
Ruby 2.6.0-rc1 Released
Ruby 2.6.0に向けた最初のリリース候補である、Ruby 2.6.0-rc1がリリースされました。
Posted by naruse on 6 Dec 2018
The official ruby snap is available
Ruby の公式 snap パッケージをリリースしました。
Posted by Hiroshi SHIBATA on 8 Nov 2018
Ruby 2.6.0-preview3 Released
Ruby 2.6.0に向けた3つ目のプレビューである、Ruby 2.6.0-preview3がリリースされました。
Posted by naruse on 6 Nov 2018
CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について
Ruby の標準添付ライブラリ openssl では OpenSSL::X509::Name クラスによって X.509 証明書で用いられる形式の名前データを扱うことができます。
ところが、このクラスのインスタンス同士を比較した場合、データの内容によっては、本来一致とみなされるべきではないものが一致しているとみなされてしまうという脆弱性が発見されました。
この脆弱性は、CVE-2018-16395 として登録されています。
Posted by usa on 17 Oct 2018
CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について
Array#pack および String#unpack の一部のフォーマット指定において、元データの taint フラグが適切に出力文字列・配列に対して伝播しないという脆弱性が発見されました。
この脆弱性は、CVE-2018-16396 として登録されています。
Posted by usa on 17 Oct 2018
Rubyist Magazine 0058号 発行
日本Rubyの会有志による、ウェブ雑誌Rubyist Magazineの0058号がリリースされました([ruby-list:50698])。 今号は、
Posted by miyohide on 28 Aug 2018
Ruby 2.6.0-preview2 Released
Ruby 2.6.0に向けた二回目のプレビューである、Ruby 2.6.0-preview2がリリースされました。
Posted by naruse on 31 May 2018
Ruby 2.2.10 リリース
Ruby 2.2.10 がリリースされました。 今回のリリースでは、以下のセキュリティ上の問題への対応が行われています。
Posted by usa on 28 Mar 2018
CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性について
Ruby の標準添付ライブラリである tmpdir で、攻撃者により任意のディレクトリを一時ディレクトリ作成場所として指定可能な脆弱性が発見されました。また、同じく標準添付ライブラリである tempfile も内部で tmpdir を使用しているため、同様に任意のディレクトリを一時ファイル作成場所として指定可能となっていました。 この脆弱性は、CVE-2018-6914 として登録されています。
Posted by usa on 28 Mar 2018
CVE-2018-8779: UNIX ドメインソケットにおいて NUL 文字挿入により意図しないソケットにアクセスされうる脆弱性について
Ruby の標準添付ライブラリである socket のメソッド UNIXServer.open で、ソケット名として指定された文字列中に NUL 文字を挿入しておくことによって、意図しないパス名でソケットが生成されうるという脆弱性が発見されました。
また、同じく UNIXSocket.open メソッドにおいても、ソケット名として指定された文字列に NUL 文字を挿入しておくことによって、意図しないパス名のソケットにアクセスしうるという脆弱性も発見されました。
この脆弱性は、CVE-2018-8779 として登録されています。
Posted by usa on 28 Mar 2018
CVE-2018-8780: Dir において NUL 文字挿入により意図しないディレクトリにアクセスされうる脆弱性について
Ruby の組み込みクラス Dir のいくつかのメソッドにおいて、ディレクトリ名として渡された引数文字列中に NUL 文字を挿入しておくことによって、意図しないディレクトリにアクセスしうるという脆弱性が発見されました。
この脆弱性は、CVE-2018-8780 として登録されています。
Posted by usa on 28 Mar 2018
CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性について
Ruby の標準添付ライブラリである WEBrick で、攻撃者により巨大なリクエストが送信された場合、メモリを浪費して DoS が成立しうる脆弱性が発見されました。 この脆弱性は、CVE-2018-8777 として登録されています。
Posted by usa on 28 Mar 2018
CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性について
Ruby の標準添付ライブラリである WEBrick で、攻撃者により偽の HTTP レスポンス生成を許してしまう脆弱性が発見されました。 この脆弱性は、CVE-2017-17742 として登録されています。
Posted by usa on 28 Mar 2018
CVE-2018-8778: String#unpack における範囲外読み込みの脆弱性について
Ruby の組み込みクラス String のメソッド String#unpack において、攻撃者により配列の範囲外へのアクセスが可能となりうる脆弱性が発見されました。
この脆弱性は、CVE-2018-8778 として登録されています。
Posted by usa on 28 Mar 2018
Ruby 2.6.0-preview1 リリース
Ruby 2.6.0に向けた最初のプレビューである、Ruby 2.6.0-preview1がリリースされました。
Posted by naruse on 24 Feb 2018
RubyGems の複数の脆弱性について
Ruby の標準添付ライブラリである RubyGems に、複数の脆弱性が発見されました。 RubyGems の公式ブログにて報告されています。
Posted by usa on 17 Feb 2018
Rubyist Magazine 0057号 発行
日本Rubyの会有志による、ウェブ雑誌Rubyist Magazineの0057号がリリースされました([ruby-list:50654])。
Posted by miyohide on 11 Feb 2018