2018年03月のアーカイブ

Ruby 2.5.1 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。

Ruby 2.4.4 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。

Ruby 2.3.7 がリリースされました。 これは安定版 2.3 系列の TEENY リリースです。

Ruby 2.2.10 がリリースされました。 今回のリリースでは、以下のセキュリティ上の問題への対応が行われています。

Ruby の標準添付ライブラリである tmpdir で、攻撃者により任意のディレクトリを一時ディレクトリ作成場所として指定可能な脆弱性が発見されました。また、同じく標準添付ライブラリである tempfile も内部で tmpdir を使用しているため、同様に任意のディレクトリを一時ファイル作成場所として指定可能となっていました。 この脆弱性は、CVE-2018-6914 として登録されています。

Ruby の標準添付ライブラリである socket のメソッド UNIXServer.open で、ソケット名として指定された文字列中に NUL 文字を挿入しておくことによって、意図しないパス名でソケットが生成されうるという脆弱性が発見されました。 また、同じく UNIXSocket.open メソッドにおいても、ソケット名として指定された文字列に NUL 文字を挿入しておくことによって、意図しないパス名のソケットにアクセスしうるという脆弱性も発見されました。 この脆弱性は、CVE-2018-8779 として登録されています。

Ruby の組み込みクラス Dir のいくつかのメソッドにおいて、ディレクトリ名として渡された引数文字列中に NUL 文字を挿入しておくことによって、意図しないディレクトリにアクセスしうるという脆弱性が発見されました。 この脆弱性は、CVE-2018-8780 として登録されています。

Ruby の標準添付ライブラリである WEBrick で、攻撃者により巨大なリクエストが送信された場合、メモリを浪費して DoS が成立しうる脆弱性が発見されました。 この脆弱性は、CVE-2018-8777 として登録されています。

Ruby の標準添付ライブラリである WEBrick で、攻撃者により偽の HTTP レスポンス生成を許してしまう脆弱性が発見されました。 この脆弱性は、CVE-2017-17742 として登録されています。

Ruby の組み込みクラス String のメソッド String#unpack において、攻撃者により配列の範囲外へのアクセスが可能となりうる脆弱性が発見されました。 この脆弱性は、CVE-2018-8778 として登録されています。