-
Notifications
You must be signed in to change notification settings - Fork 599
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Translate CVE 2024 27282, Ruby 3.0.7, 3.1.5, 3.2.4, 3.3.1 released (j…
…a) (#3236) * Translate CVE-2024-27282 (ja) * Translate Ruby 3.0.7, 3.1.5, 3.2.4, 3.3.1 released (ja) * Fix ja/news/_posts/2024-04-23 * Fix ja/news/_posts/2024-04-23 end newline character
- Loading branch information
1 parent
3e2587d
commit 5684ced
Showing
5 changed files
with
240 additions
and
0 deletions.
There are no files selected for viewing
41 changes: 41 additions & 0 deletions
41
ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,41 @@ | ||
--- | ||
layout: news_post | ||
title: "CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性" | ||
author: "hsbt" | ||
translator: "HiroyasuTawara" | ||
date: 2024-04-23 10:00:00 +0000 | ||
tags: security | ||
lang: ja | ||
--- | ||
|
||
正規表現検索における任意のメモリアドレス読み取りの脆弱性に対するセキュリティ修正が施されたRuby バージョン 3.0.7、3.1.5、3.2.4、および 3.3.1 をリリースしました。この脆弱性は[CVE-2024-27282](https://www.cve.org/CVERecord?id=CVE-2024-27282)として登録されています | ||
|
||
## 詳細 | ||
|
||
Ruby 3.x から 3.3.0 で問題が見つかりました。 | ||
|
||
攻撃者から与えられたデータを Ruby 正規表現コンパイラが受け取った場合、ポインタや機密文字列を含む、テキストの先頭からの相対アドレス上の任意のヒープデータを抽出することが可能になります。 | ||
|
||
## 推奨する対応 | ||
|
||
Rubyを3.3.1以降にアップデートすることを推奨します。古い系列の Ruby バージョンとの互換性を確保するためには、以下のようにアップデートできます: | ||
|
||
* Ruby 3.0: Ruby を 3.0.7 にアップデート | ||
* Ruby 3.1: Ruby を 3.1.5 にアップデート | ||
* Ruby 3.2: Ruby を 3.2.4 にアップデート | ||
* Ruby 3.3: Ruby を 3.3.1 にアップデート | ||
|
||
## 影響を受けるバージョン | ||
|
||
* Ruby 3.0.6 以前 | ||
* Ruby 3.1.4 以前 | ||
* Ruby 3.2.3 以前 | ||
* Ruby 3.3.0 | ||
|
||
## クレジット | ||
|
||
この脆弱性情報は、 [sp2ip](https://hackerone.com/sp2ip?type=user)氏によって報告されました。 | ||
|
||
## 更新履歴 | ||
|
||
* 2024-04-23 19:00:00 (JST) 初版 |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,52 @@ | ||
--- | ||
layout: news_post | ||
title: "Ruby 3.0.7 リリース" | ||
author: "hsbt" | ||
translator: "HiroyasuTawwara" | ||
date: 2024-04-23 10:00:00 +0000 | ||
lang: ja | ||
--- | ||
|
||
Ruby 3.0.7 がリリースされました。 | ||
|
||
このリリースでは以下の脆弱性修正が含まれています。 | ||
詳しくは以下の記事を参照してください。 | ||
|
||
* [CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性]({%link ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %}) | ||
* [CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性]({%link ja/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md %}) | ||
* [CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性]({%link ja/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md %}) | ||
|
||
詳しくは [GitHub releases](https://github.com/ruby/ruby/releases/tag/v3_0_7) を参照してください。 | ||
|
||
このリリースをもって、Ruby 3.0 系列は EOL となります。即ち、Ruby 3.0.7 が Ruby 3.0 系列の最後のリリースとなる予定です。 | ||
これ以降、仮に新たな脆弱性が発見されても、Ruby 3.0.8 などはリリースされません (ただし、深刻なリグレッションが発見された場合にはリリースする可能性があります)。すべての Ruby3.0 ユーザーの皆様は、速やかに 3.3、3.2、3.1 への移行を開始することをお勧めします。 | ||
|
||
## ダウンロード | ||
|
||
{% assign release = site.data.releases | where: "version", "3.0.7" | first %} | ||
|
||
* <{{ release.url.gz }}> | ||
|
||
SIZE: {{ release.size.gz }} | ||
SHA1: {{ release.sha1.gz }} | ||
SHA256: {{ release.sha256.gz }} | ||
SHA512: {{ release.sha512.gz }} | ||
|
||
* <{{ release.url.xz }}> | ||
|
||
SIZE: {{ release.size.xz }} | ||
SHA1: {{ release.sha1.xz }} | ||
SHA256: {{ release.sha256.xz }} | ||
SHA512: {{ release.sha512.xz }} | ||
|
||
* <{{ release.url.zip }}> | ||
|
||
SIZE: {{ release.size.zip }} | ||
SHA1: {{ release.sha1.zip }} | ||
SHA256: {{ release.sha256.zip }} | ||
SHA512: {{ release.sha512.zip }} | ||
|
||
## リリースコメント | ||
|
||
Ruby 開発者の皆様、バグや脆弱性を報告してくれたユーザーの皆様のご協力により本リリースは行われています。 | ||
皆様のご協力に感謝します。 |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,49 @@ | ||
--- | ||
layout: news_post | ||
title: "Ruby 3.1.5 リリース" | ||
author: "hsbt" | ||
translator: "HiroyasuTawwara" | ||
date: 2024-04-23 10:00:00 +0000 | ||
lang: ja | ||
--- | ||
|
||
Ruby 3.1.5 がリリースされました。 | ||
|
||
このリリースでは以下の脆弱性修正が含まれています。 | ||
詳しくは以下の記事を参照してください。 | ||
|
||
* [CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性]({%link ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %}) | ||
* [CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性]({%link ja/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md %}) | ||
* [CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性]({%link ja/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md %}) | ||
|
||
詳しくは [GitHub releases](https://github.com/ruby/ruby/releases/tag/v3_1_5) を参照してください。 | ||
|
||
## ダウンロード | ||
|
||
{% assign release = site.data.releases | where: "version", "3.1.5" | first %} | ||
|
||
* <{{ release.url.gz }}> | ||
|
||
SIZE: {{ release.size.gz }} | ||
SHA1: {{ release.sha1.gz }} | ||
SHA256: {{ release.sha256.gz }} | ||
SHA512: {{ release.sha512.gz }} | ||
|
||
* <{{ release.url.xz }}> | ||
|
||
SIZE: {{ release.size.xz }} | ||
SHA1: {{ release.sha1.xz }} | ||
SHA256: {{ release.sha256.xz }} | ||
SHA512: {{ release.sha512.xz }} | ||
|
||
* <{{ release.url.zip }}> | ||
|
||
SIZE: {{ release.size.zip }} | ||
SHA1: {{ release.sha1.zip }} | ||
SHA256: {{ release.sha256.zip }} | ||
SHA512: {{ release.sha512.zip }} | ||
|
||
## リリースコメント | ||
|
||
Ruby 開発者の皆様、バグや脆弱性を報告してくれたユーザーの皆様のご協力により本リリースは行われています。 | ||
皆様のご協力に感謝します。 |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,49 @@ | ||
--- | ||
layout: news_post | ||
title: "Ruby 3.2.4 リリース" | ||
author: "nagachika" | ||
translator: "HiroyasuTawwara" | ||
date: 2024-04-23 10:00:00 +0000 | ||
lang: ja | ||
--- | ||
|
||
Ruby 3.2.4 がリリースされました。 | ||
|
||
このリリースでは以下の脆弱性修正が含まれています。 | ||
詳しくは以下の記事を参照してください。 | ||
|
||
* [CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性]({%link ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %}) | ||
* [CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性]({%link ja/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md %}) | ||
* [CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性]({%link ja/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md %}) | ||
|
||
詳しくは [GitHub releases](https://github.com/ruby/ruby/releases/tag/v3_2_4) を参照してください。 | ||
|
||
## ダウンロード | ||
|
||
{% assign release = site.data.releases | where: "version", "3.2.4" | first %} | ||
|
||
* <{{ release.url.gz }}> | ||
|
||
SIZE: {{ release.size.gz }} | ||
SHA1: {{ release.sha1.gz }} | ||
SHA256: {{ release.sha256.gz }} | ||
SHA512: {{ release.sha512.gz }} | ||
|
||
* <{{ release.url.xz }}> | ||
|
||
SIZE: {{ release.size.xz }} | ||
SHA1: {{ release.sha1.xz }} | ||
SHA256: {{ release.sha256.xz }} | ||
SHA512: {{ release.sha512.xz }} | ||
|
||
* <{{ release.url.zip }}> | ||
|
||
SIZE: {{ release.size.zip }} | ||
SHA1: {{ release.sha1.zip }} | ||
SHA256: {{ release.sha256.zip }} | ||
SHA512: {{ release.sha512.zip }} | ||
|
||
## リリースコメント | ||
|
||
Ruby 開発者の皆様、バグや脆弱性を報告してくれたユーザーの皆様のご協力により本リリースは行われています。 | ||
皆様のご協力に感謝します。 |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,49 @@ | ||
--- | ||
layout: news_post | ||
title: "Ruby 3.3.1 リリース" | ||
author: "naruse" | ||
translator: "HiroyasuTawwara" | ||
date: 2024-04-23 10:00:00 +0000 | ||
lang: ja | ||
--- | ||
|
||
Ruby 3.3.1 がリリースされました。 | ||
|
||
このリリースでは以下の脆弱性修正が含まれています。 | ||
詳しくは以下の記事を参照してください。 | ||
|
||
* [CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性]({%link ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %}) | ||
* [CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性]({%link ja/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md %}) | ||
* [CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性]({%link ja/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md %}) | ||
|
||
詳しくは [GitHub releases](https://github.com/ruby/ruby/releases/tag/v3_3_1) を参照してください。 | ||
|
||
## ダウンロード | ||
|
||
{% assign release = site.data.releases | where: "version", "3.3.1" | first %} | ||
|
||
* <{{ release.url.gz }}> | ||
|
||
SIZE: {{ release.size.gz }} | ||
SHA1: {{ release.sha1.gz }} | ||
SHA256: {{ release.sha256.gz }} | ||
SHA512: {{ release.sha512.gz }} | ||
|
||
* <{{ release.url.xz }}> | ||
|
||
SIZE: {{ release.size.xz }} | ||
SHA1: {{ release.sha1.xz }} | ||
SHA256: {{ release.sha256.xz }} | ||
SHA512: {{ release.sha512.xz }} | ||
|
||
* <{{ release.url.zip }}> | ||
|
||
SIZE: {{ release.size.zip }} | ||
SHA1: {{ release.sha1.zip }} | ||
SHA256: {{ release.sha256.zip }} | ||
SHA512: {{ release.sha512.zip }} | ||
|
||
## リリースコメント | ||
|
||
Ruby 開発者の皆様、バグや脆弱性を報告してくれたユーザーの皆様のご協力により本リリースは行われています。 | ||
皆様のご協力に感謝します。 |