Ruby 2.5.3 リリース
Ruby 2.5.3 がリリースされました。
Posted by nagachika on 18 Oct 2018
CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について
Ruby の標準添付ライブラリ openssl では OpenSSL::X509::Name クラスによって X.509 証明書で用いられる形式の名前データを扱うことができます。
ところが、このクラスのインスタンス同士を比較した場合、データの内容によっては、本来一致とみなされるべきではないものが一致しているとみなされてしまうという脆弱性が発見されました。
この脆弱性は、CVE-2018-16395 として登録されています。
Posted by usa on 17 Oct 2018
CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について
Array#pack および String#unpack の一部のフォーマット指定において、元データの taint フラグが適切に出力文字列・配列に対して伝播しないという脆弱性が発見されました。
この脆弱性は、CVE-2018-16396 として登録されています。
Posted by usa on 17 Oct 2018