Ruby開発チームは3月28日、Rubyの各系列の最新版、Ruby 2.5.1、Ruby 2.4.4、Ruby 2.3.7、Ruby 2.2.10をリリースしました。
現在公式サイトより各最新バージョンのソースコードをダウンロードすることができます。
今回された各バージョンはそれぞれ不具合やセキュリティ問題の修正が行われたマイナーバージョンアップ版となっています。
目次
Ruby 2.5.1
Ruby 2.5.1では、WEBrickのHTTPレスポンス偽装の脆弱性の修正や、TempfileおよびTempdirの脆弱性への対応など、以下のような修正が行われています。確認してみたところRuby 2.5.0がCentOS 6環境でビルドできなかった問題も解決しているようです。
- CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性についてへの対応
- CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性についてへの対応
- CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性についてへの対応
- CVE-2018-8778: String#unpack における範囲外読み込みの脆弱性についてへの対応
- CVE-2018-8779: UNIX ドメインソケットにおいて NUL 文字挿入により意図しないソケットにアクセスされうる脆弱性についてへの対応
- CVE-2018-8780: Dir において NUL 文字挿入により意図しないディレクトリにアクセスされうる脆弱性についてへの対応
- RubyGems の複数の脆弱性についてへの対応
Ruby 2.4.4
Ruby 2.4.4でも、WEBrickのHTTPレスポンス偽装の脆弱性の修正や、TempfileおよびTempdirの脆弱性への対応など、以下のような修正が行われています。
- CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性についてへの対応
- CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性についてへの対応
- CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性についてへの対応
- CVE-2018-8778: String#unpack における範囲外読み込みの脆弱性についてへの対応
- CVE-2018-8779: UNIX ドメインソケットにおいて NUL 文字挿入により意図しないソケットにアクセスされうる脆弱性についてへの対応
- CVE-2018-8780: Dir において NUL 文字挿入により意図しないディレクトリにアクセスされうる脆弱性についてへの対応
- RubyGems の複数の脆弱性についてへの対応
Ruby 2.3.7
Ruby 2.3.7の修正点も同様です。ただし2.3系列は今回のリリースをもって通常メンテナンスフェーズを終了し、セキュリティメンテナンスフェーズへ移行することが案内されています。今後は重大なセキュリティ問題への対応のみが行われることになります。
- CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性についてへの対応
- CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性についてへの対応
- CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性についてへの対応
- CVE-2018-8778: String#unpack における範囲外読み込みの脆弱性についてへの対応
- CVE-2018-8779: UNIX ドメインソケットにおいて NUL 文字挿入により意図しないソケットにアクセスされうる脆弱性についてへの対応
- CVE-2018-8780: Dir において NUL 文字挿入により意図しないディレクトリにアクセスされうる脆弱性についてへの対応
- RubyGems の複数の脆弱性についてへの対応
Ruby 2.2.10
Ruby 2.3.7の修正点も同様です。Ruby 2.2系列は、セキュリティメンテナンスフェーズにあり、今月前津をもって2.2系列の公式サポートが終了する予定であると案内されています。
- CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性についてへの対応
- CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性についてへの対応
- CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性についてへの対応
- CVE-2018-8778: String#unpack における範囲外読み込みの脆弱性についてへの対応
- CVE-2018-8779: UNIX ドメインソケットにおいて NUL 文字挿入により意図しないソケットにアクセスされうる脆弱性についてへの対応
- CVE-2018-8780: Dir において NUL 文字挿入により意図しないディレクトリにアクセスされうる脆弱性についてへの対応
- RubyGems の複数の脆弱性についてへの対応
 |
タイトル | Ruby |
|---|---|---|
| 公式サイト | http://www.ruby-lang.org/ja/ | |
| ソフトアンテナ | https://softantenna.com/softwares/1964-ruby | |
| 説明 | オブジェクト指向スクリプト言語。 |
