Posted by zzak and hone on 19 Aug 2014
Translated by sorah
Ruby 1.9.2-p330 がリリースされました。これは 1.9.2 系列の最後のリリースになるでしょう。
“Ruby 1.8.7 および 1.9.2 のサポート終了について” のアナウンス後、Ruby 1.9.2 にセキュリティ上致命的なリグレッションが発見されました。 この脆弱性は CVE-2014-6438 として CVE に登録されています。
このバグは URI のメソッド decode_www_form_component を利用して、長い文字列をパースする時に発生します。この脆弱性を含む Ruby において、次のようにして再現する事が可能です:
ruby -v -ruri -e'URI.decode_www_form_component "A string that causes catastrophic backtracking as it gets longer %"'このバグは 1.9.3 リリース前に修正されているため、Ruby 1.9.3-p0 以降への 影響はありません 。Ruby 1.9.2-p330 未満の Ruby 1.9.2 に影響します。
元のバグレポートはバグトラッカーで見ることができます: https://bugs.ruby-lang.org/issues/5149#note-4
ダウンロード
-
https://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.tar.bz2
SIZE: 9081661 bytes MD5: 8ba4aaf707023e76f80fc8f455c99858 SHA256: 6d3487ea8a86ad0fa78a8535078ff3c7a91ca9f99eff0a6a08e66c6e6bf2040f -
https://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.tar.gz
SIZE: 11416473 bytes MD5: 4b9330730491f96b402adc4a561e859a SHA256: 23ef45fdaecc5d6c7b4e9e2d51b23817fc6aa8225a20f123f7fa98760e8b5ca9 -
https://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.zip
SIZE: 12732739 bytes MD5: 42d261b28d1b7e500dd3bdbdbfba7fa5 SHA256: 7a04a028564de7f2ad09f26c8d57fd40fe2b0a6a0e1d9ff7205010ca6e70cea6
われわれはより安定し、メンテナンスされているバージョンの Ruby へのアップグレードを推奨します。