FAMLog
Ruby on Rails 3.2.11、3.1.10、3.0.19および2.3.15が公開
January 11, 2013
Ruby on Rails 3.2.11、Ruby on Rails 3.1.10、Ruby on Rails 3.0.19およびRuby on Rails 2.3.15が公開されています。
Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 3.2.11、Rails 3.1.10、Rails 3.0.19およびRails 2.3.15では、セキュリティ上の問題点が修正されています。
Active RecordとJSONパラメーターの解析を組み合わせて利用されるRails 3.0系統以降にある脆弱性、およびAction PackでDoS攻撃に利用されてしまう脆弱性が修正されており、すべてのユーザーに対してすぐにアップデートを行うように推奨されています。
(2013/12/16追記:「Ruby on Rails 3.0.19およびがRuby on Rails 2.3.15」を「Ruby on Rails 3.0.19およびRuby on Rails 2.3.15」に修正しました。)
Ruby on Rails 3.2.10、Ruby on Rails 3.1.9およびRuby on Rails 3.0.18が公開
January 04, 2013
Ruby on Rails 3.2.10、Ruby on Rails 3.1.9およびRuby on Rails 3.0.18が公開されています。
Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 3.2.10、Rails 3.1.9およびRails 3.0.18では、セキュリティ上の問題点が修正されており、Active RecordのSQLインジェクション脆弱性が修正されています。
今回バージョン2.3系統向けのパッチも提供されていますが、Railsは現在バージョン3.1系統と3.2系統が保守対象のバージョンであり、バージョン3.1系統以降へのバージョンアップが推奨されている状況となっています。
[関連]Rails SQL injection vulnerability: hold your horses, here are the facts(Phusion Corporate Blog)
Ruby 1.9.3-p362が公開
December 26, 2012
「Ruby 1.9.3-p362」が公開されています。
Ruby 1.9.3-p362では、Solarisにおけるビルドの問題が修正され、Windows 8に対応しています。その他多数の不具合が修正されていますが、今回のリリースでは脆弱性の修正は特に含まれていないとのことです。
なお、Rubyはバージョン2.0系統の開発も進められており、現在プレビュー版が公開されている状況です。
Rubyist Magazine 0040 号が公開
December 03, 2012
日本Rubyの会の有志が発行しているWeb雑誌「Rubyist Magazine」(通称「るびま」)の0040 号が公開されています。
「るびま」は、プログラミング言語Rubyに関する技術記事や活用事例、インタビュー、エッセイなどが掲載されるWeb雑誌です。
Rubyist Magazine 0040 号には、「Ruby コードの感想戦」という連載の第1回目や、札幌Ruby会議2012のレポート班活動紹介、および各所で開催された地域Ruby会議のレポートなどが掲載されています。
Ruby 1.9.3-p327が公開
November 15, 2012
「Ruby 1.9.3-p327」が公開されています。
Ruby 1.9.3-p327では、ハッシュ飽和攻撃によるDoS脆弱性が修正されています。この脆弱性はRuby 1.8.7のCVE-2011-4815とは異なるものであるとのことです。
なお、Ruby 2.0.0-preview1またはtrunkブランチを使用してる場合、上記脆弱性の修正にはリビジョン37575以降へ更新する必要があります。
Ruby 1.9.3-p286とRuby 1.8.7-p371が公開
October 17, 2012
「Ruby 1.9.3-p286」が公開されています。
Ruby 1.9.3-p286にはセキュリティ上の修正が含まれており、不当なNUL文字挿入によって意図しないファイルが生成されうる脆弱性と、Exception#to_s/NameError#to_sおよびname_err_mesg_to_str()による$SAFE機構をバイパス可能な脆弱性が修正されています。
Ruby 1.8.7系統でも$SAFE機構をバイパス可能な脆弱性の修正が行われており、Ruby 1.8.7-p371が同時に公開されています。
Rubyist Magazine 0039 号が公開
September 11, 2012
日本Rubyの会の有志が発行しているWeb雑誌「Rubyist Magazine」(通称「るびま」)の0039 号が公開されています。
「るびま」は、プログラミング言語Rubyに関する技術記事や活用事例、インタビュー、エッセイなどが掲載されるWeb雑誌です。
Rubyist Magazine 0039 号には、RubyMotionやAxlsxの紹介記事、式と文に関する解説記事、みなと Ruby 会議 01のレポート、および書籍「たのしい開発 スタートアップRuby」の紹介記事などが掲載されています。
Ruby on Rails 3.2.8、Ruby on Rails 3.1.8およびRuby on Rails 3.0.17が公開
August 13, 2012
Rubyで記述されたオープンソースのWebアプリケーションフレームワーク「Ruby on Rails 3.2.8」、「Ruby on Rails 3.1.8」および「Ruby on Rails 3.0.17」が2012年8月上旬に公開されています。
Rails 3.2.8、Rails 3.1.8およびRails 3.0.17では、セキュリティ上の問題点が修正されており、3件のクロスサイトスクリプティング(XSS)脆弱性が修正されています。
また、バージョン3.2.8では、廃止予定の機能を使用している場合にログに表示される警告がすべて削除されています。
Ruby on Rails 3.2.7、Ruby on Rails 3.1.7およびRuby on Rails 3.0.16が公開
August 06, 2012
Rubyで記述されたオープンソースのWebアプリケーションフレームワーク「Ruby on Rails 3.2.7」、「Ruby on Rails 3.1.7」および「Ruby on Rails 3.0.16」が2012年7月下旬に公開されています。
Rails 3.2.7、Rails 3.1.7およびRails 3.0.16では、Action Packを利用したDigest認証使用時におけるDoS脆弱性が修正されています。具体的にはauthenticate_or_request_with_http_digestメソッドを使用している場合に影響を受けます。
なお、上記の問題はRails 2.3.5からRails 2.3.14には影響ないとのことです。
Ruby 1.8.7-p370が公開
July 02, 2012
「Ruby 1.8.7-p370」が公開されています。
Ruby 1.8.7-p370は、前世代の安定版であるRuby 1.8.7の保守リリースであり、不具合の修正が行われています。Ruby 1.8.7のメンテナンスは2012年6月で終了となり、セキュリティに関わる修正は2013年6月まで対応される予定となっています。
なお、現時点におけるRubyの最新安定版はRuby 1.9.3-p194です。Ruby 1.8系統からRuby 1.9.3にバージョンアップする際には、Ruby 1.8系統で動いていたプログラムやライブラリがRuby 1.9.3でそのままでは動かない場合があるので、事前に動作確認や修正が必要です。
[関連]Ruby 1.8.7のサポート終了時期(FAMLog)