CVE-2017-10784: WEBrick の BASIC 認証におけるエスケープシーケンス挿入の脆弱性について
Ruby の標準添付ライブラリである WEBrick で BASIC 認証を使用した場合、攻撃者により悪意のあるエスケープシーケンスをログに挿入されうる脆弱性が発見されました。 この脆弱性は、CVE-2017-10784 として登録されています。
Posted by usa on 14 Sep 2017
CVE-2017-0898: Kernel.sprintf におけるバッファーアンダーランについて
Kernel モジュールの sprintf メソッドにおいて、特殊なフォーマット文字列を指定した場合に、バッファーアンダーランが発生し、状況によってはヒープの中身が外部から閲覧可能となりうるという脆弱性が発見されました。
この脆弱性は、CVE-2017-0898 として登録されています。
Posted by usa on 14 Sep 2017
Ruby 2.2.8 リリース
Ruby 2.2.8 がリリースされました。 今回のリリースでは、以下のセキュリティ上の問題への対応が行われています。
Posted by usa on 14 Sep 2017
CVE-2017-14033: OpenSSL の ASN1 デコードにおけるバッファーアンダーランについて
Ruby の標準添付ライブラリである OpenSSL の OpenSSL::ASN1 モジュールの decode メソッドにおいて、特殊な引数を渡された場合に、バッファーアンダーランが発生し、状況によってはヒープの中身が外部から閲覧可能となりうるという脆弱性が発見されました。
この脆弱性は、CVE-2017-14033 として登録されています。
Posted by usa on 14 Sep 2017
CVE-2017-14064: JSON の生成時におけるヒープ暴露について
Ruby の標準添付ライブラリである JSON の JSON モジュールの generate メソッドにおいて、特殊な引数を渡された場合に、状況によってはヒープの中身が外部から閲覧可能となりうるという脆弱性が発見されました。
この脆弱性は、CVE-2017-14064 として登録されています。
Posted by usa on 14 Sep 2017
Ruby 2.4.2 リリース
Ruby 2.4.2 がリリースされました。 このリリースにはいくつかの脆弱性修正が含まれています。
Posted by nagachika on 14 Sep 2017