59の結果を表示中

Ruby 2.4 公式サポート終了

Ruby 2.4 系列の公式サポート期間が終了したことをお知らせします。

昨年 4 月から 1 年間、Ruby 2.4 系列はセキュリティメンテナンス期間に入っていましたが、予告していた通り、1 年が経過しましたので、2020 年 3 月 31 日をもって、公式サポートを終了します。
以後、単なるバグの修正はもちろん、セキュリティ上の問題が発見された場合も、Ruby 2.4 系列については新たなリリースは行われません。
2020 年 3 月 31 日に、Ruby 2.4 系列での最後のリリースとな…

Ruby 2.4.10 リリース

Ruby 2.4.10 がリリースされました。

このリリースには以下の脆弱性修正が含まれています。

CVE-2020-10663: JSON における安全でないオブジェクトの生成の脆弱性について(追加の修正)

Ruby 2.4 系列は、現在、セキュリティメンテナンスフェーズにあります。
このフェーズ中は、重大なセキュリティ上の問題への対応のみが行われます。
現在の予定では、2020 年 3 月末頃を目処に、2.4 系列のセキュリティメンテナンスならびに公式サポートは終了する見込みです。…

Ruby 2.7.1 リリース

Ruby 2.7.1 がリリースされました。

このリリースには以下の脆弱性修正が含まれています。

CVE-2020-10663: JSON における安全でないオブジェクトの生成の脆弱性について(追加の修正)
CVE-2020-10933: socketライブラリのヒープ暴露脆弱性について

詳細は commit log を参照してください。

ダウンロード

https://cache.ruby-lang.org/pub/ruby/2.7/ruby-2.7.1.tar…

Ruby 2.6.6 リリース

Ruby 2.6.6 がリリースされました。

このリリースには以下の脆弱性修正が含まれています。

CVE-2020-10663: JSON における安全でないオブジェクトの生成の脆弱性について(追加の修正)
CVE-2020-10933: socketライブラリのヒープ暴露脆弱性について

詳細は commit log を参照してください。

ダウンロード

https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.6.tar…

Ruby 2.5.8 リリース

Ruby 2.5.8 がリリースされました。

このリリースには以下の脆弱性修正が含まれています。

CVE-2020-10663: JSON における安全でないオブジェクトの生成の脆弱性について(追加の修正)
CVE-2020-10933: socketライブラリのヒープ暴露脆弱性について

詳細は commit log を参照してください。

ダウンロード

https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.8.tar…

CVE-2020-10933: socketライブラリのヒープ暴露脆弱性について

socketライブラリにヒープ暴露の脆弱性が発見されました。
この脆弱性は CVE-2020-10933 として登録されています。
ユーザのみなさんにはRubyを更新することを強くおすすめします。

詳細

BasicSocket#recv_nonblock や BasicSocket#read_nonblock をサイズやバッファ引数を指定して起動すると、これらのメソッドはまずバッファを指定サイズにリサイズします。操作がブロックする場合には、データを一切コピーせずにリターンします。その結果、バッフ…

CVE-2020-10663: JSON における安全でないオブジェクトの生成の脆弱性について(追加の修正)

RubyにバンドルされているJSON gemに、安全でないオブジェクトの生成を可能とする脆弱性が報告されました。
この脆弱性は CVE-2020-10663 として登録されています。
ユーザのみなさんにはJSON gemを更新することを強くおすすめします。

詳細

対象のシステムにJSONドキュメントをパースさせる際に、JSON gem(Rubyにバンドルされているものを含む)に対して任意のオブジェクトを生成させることができます。

これは CVE-2013-0269 と同じ問題です。
当時の修正…

Rubyist Magazine 0061号 発行

日本Rubyの会有志による、ウェブ雑誌Rubyist Magazineの0061号がリリースされました([ruby-list:50872])。
今号は、

巻頭言
Rubyist Hotlinks 【第38回】国分崇志さん
TokyoGirls.rb Meetup vol.2開催レポート
RegionalRubyKaigiレポート(77)大阪Ruby会議02
RegionalRubyKaigiレポート(78)富山Ruby会議01
RegionalRubyKaigiレポート(…

Ruby 2.7.0 リリース

Ruby 2.7シリーズ最初の安定版である、Ruby 2.7.0がリリースされました。

Ruby 2.7には、多くの新しい機能やパフォーマンスの改善が含まれます。 その一部を以下に紹介します。

Pattern Matching [Experimental]

関数型言語で広く使われているパターンマッチという機能が実験的に導入されました。
渡されたオブジェクトの構造がパターンと一致するかどうかを調べ、一致した場合にその値を変数に代入するといったことができるようになります。 [Feature #14…

Ruby 2.7.0-rc2 リリース

Ruby 2.7シリーズのリリース候補版である、Ruby 2.7.0-rc2がリリースされました。

プレビュー版は、年末の正式リリースに向け、新たな機能を試し、フィードバックを集めるために提供されています。
Ruby 2.7には、多くの新しい機能やパフォーマンスの改善が含まれます。 その一部を以下に紹介します。

Pattern Matching [Experimental]

関数型言語で広く使われているパターンマッチという機能が実験的に導入されました。
渡されたオブジェクトの構造がパターンと…

Ruby 2.7.0-rc2 リリース

Ruby 2.7シリーズのリリース候補版である、Ruby 2.7.0-rc2がリリースされました。

プレビュー版は、年末の正式リリースに向け、新たな機能を試し、フィードバックを集めるために提供されています。
Ruby 2.7には、多くの新しい機能やパフォーマンスの改善が含まれます。 その一部を以下に紹介します。

Pattern Matching [Experimental]

関数型言語で広く使われているパターンマッチという機能が実験的に導入されました。
渡されたオブジェクトの構造がパターンと…

Ruby 2.7.0-rc1 リリース

Ruby 2.7シリーズのリリース候補版である、Ruby 2.7.0-rc1がリリースされました。

プレビュー版は、年末の正式リリースに向け、新たな機能を試し、フィードバックを集めるために提供されています。
Ruby 2.7には、多くの新しい機能やパフォーマンスの改善が含まれます。 その一部を以下に紹介します。

Compaction GC

断片化したメモリをデフラグするCompaction GCが導入されました。

一部のマルチスレッドなRubyプログラムを長期間動かし、マーク&スイ…

Ruby 2.7.0-preview3 リリース

Ruby 2.7シリーズのプレビュー版である、Ruby 2.7.0-preview3をリリースします。

プレビュー版は、年末の正式リリースに向け、新たな機能を試し、フィードバックを集めるために提供されています。
Ruby 2.7.0-preview3では、多くの新しい機能やパフォーマンスの改善が含まれています。 その一部を以下に紹介します。

Compaction GC

断片化したメモリをデフラグするCompaction GCが導入されました。

一部のマルチスレッドなRubyプログラムを長期間…

Ruby 2.7.0-preview2 リリース

Ruby 2.7シリーズのプレビュー版である、Ruby 2.7.0-preview2をリリースします。

プレビュー版は、年末の正式リリースに向け、新たな機能を試し、フィードバックを集めるために提供されています。
Ruby 2.7.0-preview2では、多くの新しい機能やパフォーマンスの改善が含まれています。 その一部を以下に紹介します。

Compaction GC

断片化したメモリをデフラグするCompaction GCが導入されました。

一部のマルチスレッドなRubyプログラムを長期間…

Ruby 2.4.9 リリース

Ruby 2.4.9 がリリースされました。

このリリースは2.4.8の再パッケージです。
2.4.8のtarballはインストールができないという問題がありました
(詳しくは[Bug #16197]をご参照ください)。
2.4.8と2.4.9の間のバージョン番号以外の本質的な変更はありません。

Ruby 2.4 系列は、現在、セキュリティメンテナンスフェーズにあります。
このフェーズ中は、重大なセキュリティ上の問題への対応のみが行われます。
現在の予定では、2020 年 3 月末頃を目処に、2…

CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性

File.fnmatch および File.fnmatch? に NUL 文字挿入脆弱性が発見されました。パターン引数を制御できる攻撃者は、この脆弱性によってプログラム作者の意図しないパス名マッチを起こせる可能性があります。
この脆弱性は CVE-2019-15845 として登録されています。

詳細

組み込みメソッド File.fnmatch およびその別名である File.fnmatch? では、第 1 引数でパス名のパターンを指定します。この際、指定されたパターン中に NUL 文字(\0)が…

Ruby 2.6.5 リリース

Ruby 2.6.5 がリリースされました。

このリリースには 4 つの脆弱性修正が含まれています。

CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性
CVE-2019-16254: WEBrick における HTTP レスポンス偽装の脆弱性について(追加の修正)
CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性
CVE-2019-16201: WEBrickのDigest認証に関する正規表現Den…

CVE-2019-16201: WEBrickのDigest認証に関する正規表現Denial of Serviceの脆弱性

WEBrick の Digest 認証のモジュールに正規表現 Denial of Service (DoS) 脆弱性が発見されました。攻撃者はこの脆弱性によって、巧妙に作られたダイジェストを送信することで破滅的なバックトラックを起こさせることができます。

この脆弱性は CVE-2019-16201 として登録されています。

この問題の影響を受けるバージョンの Ruby ユーザは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

Ruby 2.3 以前のすべ…

Ruby 2.5.7 リリース

Ruby 2.5.7 がリリースされました。
これは安定版 2.5 系列の TEENY リリースです。

今回のリリースには、以下のセキュリティ上の問題に対する対応が含まれています。

CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性
CVE-2019-16254: WEBrick における HTTP レスポンス偽装の脆弱性について(追加の修正)
CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性
CVE…

CVE-2019-16254: WEBrick における HTTP レスポンス偽装の脆弱性について(追加の修正)

Ruby の標準添付ライブラリである WEBrick で、攻撃者により偽の HTTP レスポンス生成を許してしまう脆弱性が発見されました。 この脆弱性は、CVE-2019-16254 として登録されています。

詳細

標準添付ライブラリ WEBrick において、外部からの入力をそのまま HTTP レスポンスの一部として出力するようなスクリプトで利用していた場合、そうした入力中に改行文字を含めることによって、あたかもその HTTP レスポンスがそこで打ち切られたかのように振る舞わせた上で、以降に任…

CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性

Ruby の標準添付ライブラリである lib/shell.rb の Shell#[] および Shell#test にコード挿入脆弱性が発見されました。この脆弱性は、CVE-2019-16255 として登録されています。

詳細

lib/shell.rb で定義されている Shell#[] およびその別名 Shell#test において、第一引数(”command”引数)に信頼できないデータを与えていた場合にコード挿入が可能でした。攻撃者はこれを悪用することで任意のRubyメソッドを呼び出すことが…

Ruby 2.4.8 リリース

Ruby 2.4.8 がリリースされました。
これは 2.4 系列のセキュリティ修正リリースです。

今回のリリースでは、以下のセキュリティ上の問題に対する対応が含まれています。

CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性
CVE-2019-16254: WEBrick における HTTP レスポンス偽装の脆弱性について(追加の修正)
CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性
CVE-2…

Ruby 2.4.7 リリース

Ruby 2.4.7 がリリースされました。
これは 2.4 系列のセキュリティ修正リリースです。

今回のリリースでは、以下のセキュリティ上の問題に対する対応が含まれています。

RDoc における jQuery の脆弱性についてへの対応

Ruby 2.4 系列は、現在、セキュリティメンテナンスフェーズにあります。
このフェーズ中は、重大なセキュリティ上の問題への対応のみが行われます。
現在の予定では、2020 年 3 月末頃を目処に、2.4 系列のセキュリティメンテナンスならびに公式サ…

RDoc における jQuery の脆弱性について

Ruby の標準添付ライブラリである RDoc に、jQuery に関するクロスサイトスクリプティング(XSS)の脆弱性が発見されました。
全ての ruby ユーザーは、この問題に対するセキュリティフィックスが含まれた RDoc をバンドルするバージョンに更新することが推奨されます。
また、現在、RDoc が生成した HTML ドキュメントを公開している場合は、セキュリティフィックスが含まれた RDoc を使用して HTML ドキュメントを再生成する必要があります。

詳細

以下の脆弱性が報告され…

Ruby 2.5.6 リリース

Ruby 2.5.6 がリリースされました。
これは安定版 2.5 系列の TEENY リリースです。

今回のリリースでは、前回リリースから 40 件ほどのバグ修正が行われ、安定性のさらなる向上が図られています。
また、以下のセキュリティ上の問題に対する対応が含まれています。

RDoc における jQuery の脆弱性についてへの対応

詳しくは、対応する commit log を参照してください。

ダウンロード

https://cache.ruby-lang.org…

Ruby 2.6.4 リリース

Ruby 2.6.4 がリリースされました。

このリリースには添付されている rdoc の以下の脆弱性修正が含まれています。

RDoc における jQuery の脆弱性についてへの対応

その他の変更点の詳細は commit log を参照してください。

ダウンロード

https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.4.tar.bz2

SIZE: 14426299 bytes
SHA1: fa1c7…

Rubyist Magazine 0060号 発行

日本Rubyの会有志による、ウェブ雑誌Rubyist Magazineの0060号がリリースされました([ruby-list:50811])。
今号は、

巻頭言
『なるほどUnixプロセス』を読む前にちょっとだけナルホドとなる記事
AWS Lambdaで作るサーバーレスMastodon Bot
TokyoGirls.rb Meetup vol.1開催レポート
Yokohama.rbの紹介と第100回レポート
RegionalRubyKaigi レポート (73) 名古屋 …

Ruby 2.7.0-preview1 リリース

Ruby 2.7シリーズの最初のプレビュー版である、Ruby 2.7.0-preview1をリリースします。

プレビュー版は、年末の正式リリースに向け、新たな機能を試し、フィードバックを集めるために提供されています。
Ruby 2.7.0-preview1では、多くの新しい機能やパフォーマンスの改善が含まれています。 その一部を以下に紹介します。

Compaction GC

断片化したメモリをデフラグするCompaction GCが導入されました。

一部のマルチスレッドなRubyプログラムを…

Ruby 2.6.3 リリース

Ruby 2.6.3 がリリースされました。

このリリースでは日本の新元号「令和」のサポートを追加しています。
具体的には Unicode のバージョンを 12.1 beta に更新する (#15195) とともに、date ライブラリを更新しています (#15742)。

その他いくつかの不具合修正も含まれます。詳細は commit log を参照してください。

ダウンロード

https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6….

Ruby 2.4.6 リリース

Ruby 2.4.6 がリリースされました。
これは安定版 2.4 系列の TEENY リリースです。

今回のリリースでは、前回リリースから 20 件ほどのバグ修正が行われ、安定性のさらなる向上が図られています。
また、以下のセキュリティ上の問題に対する対応が含まれています。

RubyGems の複数の脆弱性についてへの対応

詳しくは、対応する commit log を参照してください。

今回のリリースをもって、2.4 系列は通常メンテナンスフェーズを終了し、セキュリティメンテナンス…