Ruby 2.7.0-preview2 リリース
Ruby 2.7シリーズのプレビュー版である、Ruby 2.7.0-preview2をリリースします。
Posted by naruse on 22 Oct 2019
CVE-2019-16201: WEBrickのDigest認証に関する正規表現Denial of Serviceの脆弱性
WEBrick の Digest 認証のモジュールに正規表現 Denial of Service (DoS) 脆弱性が発見されました。攻撃者はこの脆弱性によって、巧妙に作られたダイジェストを送信することで破滅的なバックトラックを起こさせることができます。
Posted by mame on 1 Oct 2019
CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性
File.fnmatch および File.fnmatch? に NUL 文字挿入脆弱性が発見されました。パターン引数を制御できる攻撃者は、この脆弱性によってプログラム作者の意図しないパス名マッチを起こせる可能性があります。
この脆弱性は CVE-2019-15845 として登録されています。
Posted by mame on 1 Oct 2019
CVE-2019-16254: WEBrick における HTTP レスポンス偽装の脆弱性について(追加の修正)
Ruby の標準添付ライブラリである WEBrick で、攻撃者により偽の HTTP レスポンス生成を許してしまう脆弱性が発見されました。 この脆弱性は、CVE-2019-16254 として登録されています。
Posted by mame on 1 Oct 2019
CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性
Ruby の標準添付ライブラリである lib/shell.rb の Shell#[] および Shell#test にコード挿入脆弱性が発見されました。この脆弱性は、CVE-2019-16255 として登録されています。
Posted by mame on 1 Oct 2019