セキュリティに関する勧告が発せられ、Ruby 1.8.xおよびRuby 1.9における深刻な脆弱性について警告している(source)。
Rubyにおける複数の脆弱性は、サービス妨害攻撃(DoS)の状態につながったり、任意のコードを実行したりする可能性がある。 [..]影響を受けるバージョンは、以下のとおりである。
1.8シリーズJeremy Kemper氏は、Riding Railsブログで以下のように指摘している(source)。
* 1.8.4およびそれ以前のすべてのバージョン
* 1.8.5-p230およびそれ以前のすべてのバージョン
* 1.8.6-p229およびそれ以前のすべてのバージョン
* 1.8.7-p21およびそれ以前のすべてのバージョン
1.9シリーズ
* 1.9.0-1およびそれ以前のすべてのバージョン
Ruby 1.8.4やそれ以前のバージョンを実行している人は、修正目的で1.8.5以降のバージョンにアップグレードする必要がある。1.8.5-7は、修正の最新パッチレベルリリースを利用することができる。 (注:Ruby 1.8.7は、後方互換性がなく、Rails 2.1以降のみと互換性があるので、やり過ぎには注意する必要がある。)
問題点は、Apple Product SecurityのDrew Yao氏によって発見された。
アップグレードすることを勧めるが、アップグレードすることで、アプリケーションを破壊することがないようにしたい。Jeremy氏のブログの投稿コメントやRubyInsideの脆弱性についての記事が指摘しているのは、1.8.6の修正版である1.8.6-p230へアップグレードした場合に、起こり得る互換性や安定性の問題である(source)。
脆弱性について詳しくは、ローカルで問題を複製する方法を説明し、Ruby SVNリポジトリの変化を示している(source)「Updates on Drew Yao’s Terrible Ruby Vulnerabilities」(source)を参照のこと。
脆弱性は1.8.xおよび1.9.xのネイティブコードで確認されたので、JRubyのようなその他の実装には影響を及ぼさない。
原文はこちらです:http://www.infoq.com/news/2008/06/ruby-vulnerabilities