Ruby 1.9.3-p286 リリース
Ruby 1.9.3-p286 がリリースされました。
Posted by usa on 12 Oct 2012
不当な NUL 文字挿入によって意図しないファイルが生成されうる脆弱性について (CVE-2012-4522)
ファイル名の途中に NUL 文字を挿入することにより、意図しない名前のファイルを生成しうる脆弱性が発見されました。 この問題は CVE-2012-4522 として報告されているものです。
Posted by usa on 12 Oct 2012
Exception#to_s/NameError#to_s および name_err_mesg_to_str() による $SAFE 機構をバイパス可能な脆弱性について (CVE-2012-4464, CVE-2012-4466)
Exception#to_s, NameError#to_s メソッドに $SAFE によるチェックを回避できる脆弱性が発見されました。 また、Ruby インタプリタが内部で利用する API である name_err_mesg_to_str() にも同様の脆弱性が発見されました。 脆弱性により、信頼されないコードによって任意の文字列の変更が可能です。
Posted by usa on 12 Oct 2012