FAMLog
Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8が公開
October 18, 2018
Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8が公開されています。
Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8では、Array#packおよびString#unpackの一部のフォーマット指定においてtaintフラグが伝播しない脆弱性(CVE-2018-16396)と、OpenSSL::X509::Nameの同一性判定が機能していない脆弱性(CVE-2018-16395)が修正されています。
なお、当初Ruby 2.4.5およびRuby 2.3.8と同時にRuby 2.5.2が公開されていましたが、バージョン2.5.2のパッケージファイルにはパッケージングのミスによりビルドに必要ないくつかのファイルが含まれていませんでした。パッケージファイルの作り直しのためにRuby 2.5.3として修正版が公開された次第です。