Ruby: rexml gemのセキュリティ修正3.3.9がリリースされました|TechRacho by BPS株式会社
rexml gemのセキュリティ修正がリリースされました。Ruby 3.1以下でrexmlを使っている場合は、rexmlの更新が必要です。 公式ニュース: CVE-2024-49761: ReDoS vulnerability in REXML なお、rexml gemは、Ruby 3.3.5ではbundled gemに分類されています(Rubyといっしょにインストールされ、gem uninstall rexmlコマンドで削除可能)。 参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ 参考: Standard Gems 🔗 rexml gemの修正 リリースタグ: Release REXML 3.3.9 - 2024-10-24 · ruby/rexml CVE: CVE-2024-4976
Railsセキュリティ修正がリリースされました: 7.2.1.1 / 7.1.4.1 /7.0.8.5 / 6.1.7.9|TechRacho by BPS株式会社
2024.10.16 Railsセキュリティ修正がリリースされました: 7.2.1.1 / 7.1.4.1 /7.0.8.5 / 6.1.7.9 Ruby on Rails セキュリティ修正7.2.1.1 / 7.1.4.1 / 7.0.8.5 / 6.1.7.9がリリースされました。それぞれのリリースでは、4件のReDoS脆弱性が修正されています。 Rails Versions 6.1.7.9, 7.0.8.5, 7.1.4.1, and 7.2.1.1 have been released! These releases address ReDoS security issues that affect users on Ruby 3.1, so anyone on those versions should upgrade. Thanks! — Ruby on Rails (@rai
Ruby: Puma gemとWEBrick gemのセキュリティ修正がリリースされました|TechRacho by BPS株式会社
Puma gemとWEBrick gemのセキュリティ修正がリリースされました。 なお、PumaとWEBrickはどちらも、Ruby 3.3.5ではdefault gemやbundled gemではありません(デフォルトではRubyにインストールされず、gem uninstallで削除可能です)。 参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ 参考: Standard Gems 🔗 Puma gemの修正 リリースノート: Release 6.4.3 · puma/puma CVE: NVD - CVE-2024-45614 詳しくは上記リリース情報とCVEをご覧ください。 影響を受けるPuma gemバージョン 6.4.2以下 修正されたバージョン 6.4.3 bundlerを使ってい
Railsセキュリティ修正7.1.3.4、7.0.8.4、6.1.7.8がリリースされました|TechRacho by BPS株式会社
Ruby on Railsセキュリティ修正7.1.3.4、7.0.8.4、6.1.7.8がリリースされました。 リリース情報: Ruby on Rails — Rails Versions 6.1.7.8, 7.0.8.4, 7.1.3.4, and 7.2.0.beta2 have been released! 英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。 Release 7.1.3.4 · rails/rails(日本時間2024/06/05 03:07AM) Release 7.0.8.4 · rails/rails(日本時間2024/06/05 03:06AM) Release 6.1.7.8 · rails/rails(日本時間2024/06/05 03:06AM) 詳しくは以下のコミット差分リストをご覧ください。 Comparing v7.
Rails: セキュリティ修正7.1.3.3、7.0.8.2がリリースされました|TechRacho by BPS株式会社
Ruby on Rails セキュリティ修正7.1.3.3、7.0.8.2がリリースされましたので、簡単で恐縮ですが速報記事としました。 このリリースには、Action Textで使われるTrixエディタ向けに以下のセキュリティ修正が反映されています。 参考: Trix Editor Arbitrary Code Execution Vulnerability · CVE-2024-34341 · GitHub Advisory Database リリース情報: Release 7.1.3.3 · rails/rails リリース情報: Release 7.0.8.2 · rails/rails それ以外の修正は含まれていません。 更新情報(2024/05/23) その後の同日に、Rails 7.0.8.3がリリースされました。 リリース情報: Release v7.0.8.3 · rai
Ruby 3.3.1/3.2.4/3.1.5/3.0.7がリリースされました(セキュリティ修正あり)|TechRacho by BPS株式会社
Ruby 3.3.1/3.2.4/3.1.5/3.0.7がリリースされました。 We disclosed CVE-2024-27282 today https://t.co/KbE6Aypb9j and released 3.3.1, 3.2.4, 3.1.5 and 3.0.7 with security fix for CVE-2024-27282. We recommend to update them from old versions. — Ruby Programming Language (@rubylangorg) April 23, 2024 リリースノート: Ruby 3.3.1 Released コミットログ差分: Comparing v3_3_0...v3_3_1 · ruby/ruby リリースノート: Ruby 3.2.4 Released コミットログ差分:
Ruby: rdoc gemとstringio gemのセキュリティ修正がリリースされました|TechRacho by BPS株式会社
rdoc gemとstringio gemのセキュリティ修正がリリースされました。 We disclosed two CVEs for the default gems today. * https://t.co/do5D0xqdch * https://t.co/NLcUmoRgrY We recommend upgrading them for keep your code as safety. — Ruby Programming Language (@rubylangorg) March 21, 2024 🔗 rdoc gemの修正 リリースノート: CVE-2024-27281: RCE vulnerability with .rdoc_options in RDoc 詳しくは上記リリース情報をご覧ください。 rdocはdefault gemに分類されます(参考: standa
secret_key_baseが漏れると何が起きるのか実際に試してみた|TechRacho by BPS株式会社
社内でRailsコードのレビューをしていて、 Dockerfile に環境変数で SECRET_KEY_BASE="dummy" のようにベタ書きしているのを見つけました。これはまずいよね、多分任意のセッション改ざんによるなりすましなどがし放題になりそうだよね、と思ったものの、これまで雰囲気で使っていて確かなことが言えなかったので、良い機会ということで少し調べてみることにしました。 🔗 secret_key_baseについて 🔗 secrets と credentials, RAILS_MASTER_KEY ってなんだっけ 🔗 secrets Rails 4.1で secrets.yml が登場して、environmentごとの認証情報を平文で保存していました。その後Rails 5.2で secrets.yml.enc が登場して、 RAILS_MASTER_KEY または secr
Railsセキュリティ修正7.1.3.2、7.0.8.1、6.1.7.7がリリースされました|TechRacho by BPS株式会社
注意 Rails 7.1.3.1リリース後に小さなバグが見つかったため、その直後にリリースされた7.1.3.2で修正されました。 上記の公式更新情報の見出しにのみ「7.0.8.2」とありますが、実際には「7.0.8.1」が正しいバージョンです。 Railsの修正3件のうち、1件はRailsの過去全バージョンに影響する脆弱性が修正されています。 Railsの修正に加えて、Rackでも3件のセキュリティ修正が行われました。うち1件は、Rackの過去全バージョンに影響する脆弱性が修正されています。 現在のメンテナンスポリシーでは、7.1.Z、7.0.Z、6.1.Zがセキュリティ修正の対象となっています。 英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。 Release v7.1.3.2 · rails/rails(日本時間2024/02/22 06:52) Re
Railsセキュリティ修正7.0.7.2、6.1.7.6がリリースされました|TechRacho by BPS株式会社
Ruby on Rails セキュリティ修正7.0.7.2、6.1.7.6がリリースされました。 リリース情報: Ruby on Rails — Rails Versions 7.0.7.2, 6.1.7.6 have been released! 英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。 Release 7.0.7.2 release · rails/rails -- 2023/08/23 05:23(日本時間) Release v6.1.7.6 · rails/rails -- 2023/08/23 05:23(日本時間) 注 直前にリリースされた以下の7.0.7.1、6.1.7.5は、パーミッションに不備があります。この点がセキュリティ修正7.0.7.2、6.1.7.6で訂正されており、それ以外は同一です。 参考: Ruby on Rails
Ruby: URI gemのセキュリティ修正0.12.2/0.10.3がリリースされました|TechRacho by BPS株式会社
URI gemのセキュリティ修正0.12.2/0.10.3がリリースされました。ReDoS脆弱性の修正です。 We disclosed another ReDoS vulnerability of URI https://t.co/E8XzHH6tzl — Ruby Programming Language (@rubylangorg) June 29, 2023 リリースノート: CVE-2023-36617: ReDoS vulnerability in URI CVE: CVE Record | CVE -- 現時点では予約のみ 詳しくは上記リリース情報をご覧ください。 今回のセキュリティ修正は、前回のURI gemの修正↓(CVE-2023-28755)で不完全だった部分が修正されています。 uri gemのセキュリティ修正がリリースされました 影響を受けるURI gemバージョン
Railsセキュリティ修正7.0.5.1、6.1.7.4 がリリースされました|TechRacho by BPS株式会社
Ruby on Rails セキュリティ修正7.0.5.1、6.1.7.4がリリースされました。修正対象となる脆弱性はRailsの全バージョンに影響します。 Hi everyone! Rails versions Rails Versions 7.0.5.1, 6.1.7.4 have been released! Please check out the announcement! https://t.co/jZGdrIXXjz Also, have a good day! ❤️ — Ruby on Rails (@rails) June 26, 2023 リリース情報: Ruby on Rails — Rails Versions 7.0.5.1, 6.1.7.4 have been released! Discussion: [CVE-2023-28362] Possible XSS
time gemのセキュリティ修正がリリースされました|TechRacho by BPS株式会社
Rubyのtime gemのセキュリティ修正がリリースされました。 お知らせ: CVE-2023-28756: ReDoS vulnerability in Time CVE-2023-28756: ReDoS vulnerability in Time https://t.co/qdHkUtRBxo — Ruby Programming Language (@rubylangorg) March 30, 2023 コミット差分(time gem v0.2.2) Comparing v0.2.1...v0.2.2 · ruby/time コミット差分(time gem v0.1.1) Comparing v0.1.0...v0.1.1 · ruby/time コミット差分(Ruby 2.7.8: セキュリティ以外の変更も含まれています) Comparing v2_7_7...v2_7_8
uri gemのセキュリティ修正がリリースされました|TechRacho by BPS株式会社
Rubyのuri gemのセキュリティ修正がリリースされました。 CVE-2023-28755: ReDoS vulnerability in URI https://t.co/QhBr4EL9OE — Ruby Programming Language (@rubylangorg) March 28, 2023 お知らせ: CVE-2023-28755: ReDoS vulnerability in URI 詳しくは上記の公式情報をご覧ください。 公式で推奨されている対応方法は、uri gemを0.12.1にアップデートすることです。Ruby 3.2で使っているuri gemも更新対象です。 リリース: Release v0.12.1 · ruby/uri -- 推奨バージョン コミット差分: Comparing v0.12.0...v0.12.1 · ruby/uri なお、Ruby
Railsセキュリティ修正7.0.4.3、6.1.7.3がリリースされました|TechRacho by BPS株式会社
Ruby on Rails セキュリティ修正7.0.4.3、6.1.7.3がリリースされました。 リリース情報: Ruby on Rails — Rails 7.0.4.3 and 6.1.7.3 have been released! 英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。 Release v7.0.4.3 · rails/rails(日本時間2023/03/14 03:58) Release v6.1.7.3 · rails/rails(日本時間2023/03/14 03:59) 詳しくは以下のコミットリストをご覧ください。 コミットリスト: Comparing v7.0.4.2...v7.0.4.3 · rails/rails コミットリスト: Comparing v6.1.7.2...v6.1.7.3 · rails/rails 🔗 セ
Railsセキュリティ修正7.0.4.1、6.1.7.1、6.0.6.1がリリースされました|TechRacho by BPS株式会社
2023.01.18 Railsセキュリティ修正7.0.4.1、6.1.7.1、6.0.6.1がリリースされました Ruby on Rails セキュリティ修正7.0.4.1、6.1.7.1、6.0.6.1がリリースされました。 それとは別にRackとGitでもセキュリティ修正がリリースされていますので、参考までに後述します。 Rails Versions 7.0.4.1, 6.1.7.1, and 6.0.6.1 have been released to address some security vulnerabilities. https://t.co/Z2ifRpuen1 — Ruby on Rails (@rails) January 17, 2023 リリース情報: Ruby on Rails — Rails Versions 7.0.4.1, 6.1.7.1, and 6.
Ruby: 'cgi' gemのセキュリティ修正0.3.5、0.2.2、0.1.0.2がリリースされました|TechRacho by BPS株式会社
cgi gemのセキュリティ修正がリリースされました。 CVE-2021-33621: HTTP response splitting in CGI https://t.co/uWtJGIdfSY — Ruby Language (@rubylangorg) November 22, 2022 リリースノート: CVE-2021-33621: HTTP response splitting in CGI 詳しくは上記リリース情報をご覧ください。 参考: library cgi (Ruby 3.1 リファレンスマニュアル) 影響を受けるgemバージョン cgi gem 0.3.3以前 cgi gem 0.2.1以前 cgi gem 0.1.1、0.1.0.1、0.1.0 修正されたgemバージョン cgi gem 0.3.5 差分: Comparing v0.3.4...v0.3.5 · r
保存版: Railsアプリケーションのセキュリティベストプラクティス(翻訳)|TechRacho by BPS株式会社
概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Security Best Practices for Your Rails Application | AppSignal Blog 原文公開日: 2022/10/05 原著者: Paweł Dąbrowski サイト: AppSignal Blog 参考: 週刊Railsウォッチ20221011 Railsのセキュリティベストプラクティス 日本語タイトルは内容に即したものにしました。原文の章インデントは訳文で一部を変更しています。 以下のRailsセキュリティガイドも合わせてお読みください。 参考: Rails セキュリティガイド - Railsガイド Webアプリケーションを構築するときは、パフォーマンスや使い勝手を重視するのはもちろんですが、セキュリティにも注目する必要があります。ハッキング手法は、技術の進化と変わらない
Railsセキュリティ修正7.0.3.1、6.1.6.1、6.0.5.1、5.2.8.1がリリースされました|TechRacho by BPS株式会社
Ruby on Rails 7.0.3.1、6.1.6.1、6.0.5.1、5.2.8.1がリリースされました。 Happy Tuesday everyone! A set of releases has occurred! These releases address an important security issue, so please check it out! More information is here: https://t.co/EpxnsTJ3xt — Ruby on Rails (@rails) July 12, 2022 リリース情報: Ruby on Rails — Rails Versions 7.0.3.1, 6.1.6.1, 6.0.5.1, and 5.2.8.1 have been released! 以下はGItHubのリリースタグ↓です。今回はR
Rack セキュリティ修正がリリースされました: 2.2.3.1、2.1.4.1、2.0.9.1|TechRacho by BPS株式会社
hachi8833 Twitter: @hachi8833、GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。 これまでにRuby on Rails チュートリアル第2版の監修および半分程度を翻訳、Railsガイドの初期翻訳ではほぼすべてを翻訳。その後も折に触れて更新翻訳中。 かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。 実は最近Go言語が好きで、Goで書かれたRubyライクなGoby言語のメンテナーでもある。 仕事に関係ないすっとこブログ「あけてくれ」は2000年頃から多少の中断をはさんで継続、現在はnote.comに移転。Amazonウィッシュリスト: https://bit.ly/32aAmiI hachi8833の書いた記事一覧へ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
