新しいRuby 1.9.1リリース、Ruby 1.9.1-p376がリリースされた。
Ruby 1.9.1のすべてのユーザは、p376へのアップグレードを検討すべきだ。これにはヒープオーバーフローを許す脆弱性の修正が含まれているためだ。
String#ljust, String#centerおよびString#rjustにヒープオーバーフローが発見されました。これはある稀なケースにおいて攻撃者に任意のコードの実行を許します。
バグは rb_str_justify にあった。詳しくはこちらを参照。この脆弱性はRuby 1.9.1にだけ存在する。
1.9.1-p376には他にも多くのバグ修正が含まれている。以下、1.9.1-p376 リリースノートより。
* IRBの拡張コマンドが機能していませんでした。
* RipperがいくつかのRubyコードを解析できませんでした。
* AIXにおけるビルドエラーを修正しました。
* Matrixのバグをいくつか修正しました。
* ユーザーのホームディレクトリにインストールされたgemをロードできない問題を修正しました。
* いくつかのメソッドが正しいエンコーディング情報付きの文字列を返すようになりました。
一方、Ruby 1.9.2へ向けた作業も進んでいる。(Ruby 1.9 trunkのChangeLog(大きなファイルなので注意))。Ruby 1.9.2はRubySpecテストに適合することを確認するため、当初よりも遅れる予定だ。