FAMLog
Ruby 1.9.3-p429とRuby 2.0.0-p195が公開
May 20, 2013
「Ruby 1.9.3-p429」と「Ruby 2.0.0-p195」が公開されています。
Ruby 1.9.3-p429とRuby 2.0.0-p195では、DLおよびFiddleにおいて$SAFEレベルの設定に関わらず汚染された文字列をシステム呼び出しに使用できる脆弱性が修正されています。
なお、Ruby 1.9.3-p429の公開前にRuby 1.9.3-p426も公開されていましたが、いくつかのプラットフォームでビルド上の問題があったため、Ruby 1.9.3-p426ではなくRuby 1.9.3-p429を利用することが推奨されています。
serverspec 0.3.2が公開
May 15, 2013
構築済みのサーバーをRSpecでテストするソフトウェア「serverspec 0.3.2」が公開されています。
serverspecは現時点ではRed HatベースのOS、DebianベースのOS、GentooおよびSolarisに対応しています。バージョン0.2.25以降でOS Xへの対応も進められており、バージョン0.3.2ではOS Xにおける不具合が一部修正されています。
serverspecはRubyGems.orgにもgemパッケージが用意されていて、gemコマンドを使用してインストールすることが可能です。
[関連]2010年10月「FileMaker Pro 東京ユーザーズミーティング」発表資料(FAMLog)
Ruby on Rails 3.2.13、Ruby on Rails 3.1.12およびRuby on Rails 2.3.18が公開
March 27, 2013
Ruby on Rails 3.2.13、Ruby on Rails 3.1.12およびRuby on Rails 2.3.18が2013年3月中旬に公開されています。
Rails 3.2.13、Rails 3.1.12およびRails 2.3.18では、下記4点のセキュリティ脆弱性が修正されています。
・CVE-2013-1854 Symbol DoS vulnerability in Active Record
・CVE-2013-1855 XSS vulnerability in sanitize_css in Action Pack
・CVE-2013-1856 XML Parsing Vulnerability affecting JRuby users
・CVE-2013-1857 XSS Vulnerability in the sanitize helper of Ruby on Rails
すべてのバージョンに影響のあるものですが、メンテナンスポリシーにより上記3系統のバージョンのみリリースされています。
(2013/12/16追記:「Ruby on Rails 3.1.12およびがRuby on Rails 2.3.18」を「Ruby on Rails 3.1.12およびRuby on Rails 2.3.18」に修正しました。)
Rubyist Magazine 0041 号が公開
February 27, 2013
日本Rubyの会の有志が発行しているWeb雑誌「Rubyist Magazine」(通称「るびま」)の0041 号が公開されています。
「るびま」は、プログラミング言語Rubyに関する技術記事や活用事例、インタビュー、エッセイなどが掲載されるWeb雑誌です。
Rubyの20周年に合わせたRuby 2.0のリリース日と同じ日に公開されたRubyist Magazine 0041 号には、Ruby 2.0に関する記事が多数掲載されています。
[関連]Ruby 2.0.0-p0が公開(FAMLog)
Ruby 1.9.3-p392が公開
February 26, 2013
「Ruby 1.9.3-p392」が公開されています。
Ruby 1.9.3-p392では、Rubyに同梱されているJSON gemにおけるサービス不能攻撃(DoS)および安全でないオブジェクトの生成を可能とする脆弱性と、REXMLにおける厳格でないエンティティ展開によるサービス不能攻撃が可能となる脆弱性が修正されています。
上記の他にも、いくつか不具合の修正も行われています。
Ruby 2.0.0-p0が公開
February 25, 2013
Ruby 2.0系列の安定版である「Ruby 2.0.0-p0」が2013年2月24日に公開されています。
Ruby 2.0.0では、キーワード引数やDTraceがサポートされ、デフォルトのスクリプトエンコーディングがUTF-8に変更されています。その他にも、Rubyへの要求の多様化・大規模化に対応するため、数多くの新機能や改良が加えられています。
Ruby 1.9からRuby 2.0への移行は、Ruby 1.8からRuby 1.9への移行より苦労する点は少ないものの、iconvが削除されている点や、ABI互換性がなくなっている点など、非互換がいくつか存在するので注意が必要です。
Ruby on Rails 3.2.12、Ruby on Rails 3.1.11およびRuby on Rails 2.3.17が公開
February 19, 2013
Ruby on Rails 3.2.12、Ruby on Rails 3.1.11およびRuby on Rails 2.3.17が公開されています。
Rails 3.2.12、Rails 3.1.11およびRails 2.3.17では、Active Recordのattr_protectedメソッドに存在した脆弱性が修正されています。また、Rails 3.0およびRails 2.3のActive Recordにおける任意のコードを実行される脆弱性や、JSON gemに存在したDoS脆弱性およびSQLインジェクションにつながる恐れのある脆弱性も修正されています。
なお、Rails 3.0系統を利用している場合にはパッチを適用するか、バージョン3.1系統以降へのアップグレードを検討する必要があります。
(2013/12/16追記:「Ruby on Rails 3.1.11およびがRuby on Rails 2.3.17」を「Ruby on Rails 3.1.11およびRuby on Rails 2.3.17」に修正しました。)
Ruby 1.9.3-p385が公開
February 08, 2013
「Ruby 1.9.3-p385」が公開されています。
Ruby 1.9.3-p385では、RDoc で生成したHTMLドキュメントにおけるクロスサイトスクリプティング(XSS)脆弱性が修正されています。
なお、Rubyはバージョン2.0系統の開発も進められており、現在リリース候補版であるRuby 2.0.0-rc2が公開されている状況です。
Ruby on Rails 3.0.20とRuby on Rails 2.3.16が公開
February 06, 2013
Ruby on Rails 3.0.20とRuby on Rails 2.3.16が2013年1月に公開されています。
Ruby on Railsは、Rubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 3.0.20とRails 2.3.16では、認証を回避されたり、任意のコードが実行される恐れのある脆弱性、およびサービス運用妨害(DoS)につながる脆弱性が修正されています。
とても危険なセキュリティ脆弱性が修正されているため、Rails 3.0系統およびRails 2.3系統を使用している場合には、すぐにアップデートを行うように推奨されています。
Ruby 1.9.3-p374が公開
January 18, 2013
「Ruby 1.9.3-p374」が公開されています。
Ruby 1.9.3-p374では、ランダムにセグメンテーション違反が発生する問題が修正され、Windows 8との互換性に関する修正が行われています。今回のリリースには脆弱性対応は特に含まれていないとのことです。
なお、Rubyはバージョン2.0系統の開発も進められており、現在リリース候補版が公開されている状況です。