Rubyとは…

REXMLのDoS脆弱性

Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられ たXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすること ができます。

Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。

続きを読む…

Posted by Shugo Maeda on 23 Aug 2008

プラットフォームメンテナ募集のお知らせ

Rubyコア開発陣はいくつかのプラットフォームにおけるRuby 1.9のメンテナを募集しています。

メンテナを募集しているプラットフォーム

• cygwin
• Interix
• Itanium platforms (Windows, GNU/Linux, ...)
• PPC platforms
• x64 GNU/Linux
• *BSD
• BeOS (Haiku)
• OpenVMS
• WinCE
• OS/2
• bcc32
• Classic MacOS

メンテナにお願いしたいのは次の内容です。

• ruby-core@ruby-lang.org と ruby-dev@ruby-lang.org を購読する
• そのプラットフォームが pthread 実装を持っていない場合は thread_{win32, pthread}.c を移植する。
• その他のビルドエラーやプラットフォーム固有の問題を解決する
• 日々Rubyのtrunkをビルド・テストする
• 12月20日までに"make test-all"に成功するように努力する

もしお願いできますなら、ruby-dev@ruby-lang.org にメールを送って立候補してください。

危機に瀕するプラットフォーム

次のプラットフォームではかつてRubyがメンテナンスされていましたが今はされていません。誰かがメンテナにならない限りRuby 1.9はそのプラットフォームで は動作しなくなるでしょう。

• OpenVMS
• WinCE
• OS/2
• Classic MacOS
• bcc32
• djgpp
• human68k

参考

• [ruby-list:45267] [ANN] Ruby 1.9.0-3リリース
• [ruby-list:45345] 「サポートレベル」の定義、1.9.1のサポート予定プラットフォーム、メンテナ募集

Posted by maki on 20 Aug 2008

Ruby 1.8.7-p72 / 1.8.6-p287 リリース

Ruby 1.8.7-p72 / 1.8.6-p287がリリースされました。 前回のリリースの修正は不完全で、新しいリリースは以前にアナウンスされたdlの脆弱性の修正を含んでいます。

リリースされたソースアーカイブは以下から入手できます。

• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p287.tar.gz>
• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p287.tar.bz2>
• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p287.zip>
• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p72.tar.gz>
• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p72.tar.bz2>
• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p72.zip>

続きを読む…

Posted by Shugo Maeda on 11 Aug 2008