Translate CVE 2024 27282, Ruby 3.0.7, 3.1.5, 3.2.4, 3.3.1 released (j…

…a) (#3236) * Translate CVE-2024-27282 (ja) * Translate Ruby 3.0.7, 3.1.5, 3.2.4, 3.3.1 released (ja) * Fix ja/news/_posts/2024-04-23 * Fix ja/news/_posts/2024-04-23 end newline character
ruby · May 10, 2024 · 5684ced · 5684ced
1 parent 3e2587d
commit 5684ced
Show file tree

Hide file tree

Showing 5 changed files with 240 additions and 0 deletions.
diff --git a/ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md b/ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md
@@ -0,0 +1,41 @@
+---
+layout: news_post
+title: "CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性"
+author: "hsbt"
+translator: "HiroyasuTawara"
+date: 2024-04-23 10:00:00 +0000
+tags: security
+lang: ja
+---
+
+正規表現検索における任意のメモリアドレス読み取りの脆弱性に対するセキュリティ修正が施されたRuby バージョン 3.0.7、3.1.5、3.2.4、および 3.3.1 をリリースしました。この脆弱性は[CVE-2024-27282](https://www.cve.org/CVERecord?id=CVE-2024-27282)として登録されています
+
+## 詳細
+
+Ruby 3.x から 3.3.0 で問題が見つかりました。
+
+攻撃者から与えられたデータを Ruby 正規表現コンパイラが受け取った場合、ポインタや機密文字列を含む、テキストの先頭からの相対アドレス上の任意のヒープデータを抽出することが可能になります。
+
+## 推奨する対応
+
+Rubyを3.3.1以降にアップデートすることを推奨します。古い系列の Ruby バージョンとの互換性を確保するためには、以下のようにアップデートできます：
+
+* Ruby 3.0: Ruby を 3.0.7 にアップデート
+* Ruby 3.1: Ruby を 3.1.5 にアップデート
+* Ruby 3.2: Ruby を 3.2.4 にアップデート
+* Ruby 3.3: Ruby を 3.3.1 にアップデート
+
+## 影響を受けるバージョン
+
+* Ruby 3.0.6 以前
+* Ruby 3.1.4 以前
+* Ruby 3.2.3 以前
+* Ruby 3.3.0
+
+## クレジット
+
+この脆弱性情報は、 [sp2ip](https://hackerone.com/sp2ip?type=user)氏によって報告されました。
+
+## 更新履歴
+
+* 2024-04-23 19:00:00 (JST) 初版
diff --git a/ja/news/_posts/2024-04-23-ruby-3-0-7-released.md b/ja/news/_posts/2024-04-23-ruby-3-0-7-released.md
@@ -0,0 +1,52 @@
+---
+layout: news_post
+title: "Ruby 3.0.7 リリース"
+author: "hsbt"
+translator: "HiroyasuTawwara"
+date: 2024-04-23 10:00:00 +0000
+lang: ja
+---
+
+Ruby 3.0.7 がリリースされました。
+
+このリリースでは以下の脆弱性修正が含まれています。
+詳しくは以下の記事を参照してください。
+
+* [CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性]({%link ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %})
+* [CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性]({%link ja/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md %})
+* [CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性]({%link ja/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md %})
+
+詳しくは [GitHub releases](https://github.com/ruby/ruby/releases/tag/v3_0_7) を参照してください。
+
+このリリースをもって、Ruby 3.0 系列は EOL となります。即ち、Ruby 3.0.7 が Ruby 3.0 系列の最後のリリースとなる予定です。
+これ以降、仮に新たな脆弱性が発見されても、Ruby 3.0.8 などはリリースされません (ただし、深刻なリグレッションが発見された場合にはリリースする可能性があります)。すべての Ruby3.0 ユーザーの皆様は、速やかに 3.3、3.2、3.1 への移行を開始することをお勧めします。
+
+## ダウンロード
+
+{% assign release = site.data.releases | where: "version", "3.0.7" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## リリースコメント
+
+Ruby 開発者の皆様、バグや脆弱性を報告してくれたユーザーの皆様のご協力により本リリースは行われています。
+皆様のご協力に感謝します。
diff --git a/ja/news/_posts/2024-04-23-ruby-3-1-5-released.md b/ja/news/_posts/2024-04-23-ruby-3-1-5-released.md
@@ -0,0 +1,49 @@
+---
+layout: news_post
+title: "Ruby 3.1.5 リリース"
+author: "hsbt"
+translator: "HiroyasuTawwara"
+date: 2024-04-23 10:00:00 +0000
+lang: ja
+---
+
+Ruby 3.1.5 がリリースされました。
+
+このリリースでは以下の脆弱性修正が含まれています。
+詳しくは以下の記事を参照してください。
+
+* [CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性]({%link ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %})
+* [CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性]({%link ja/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md %})
+* [CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性]({%link ja/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md %})
+
+詳しくは [GitHub releases](https://github.com/ruby/ruby/releases/tag/v3_1_5) を参照してください。
+
+## ダウンロード
+
+{% assign release = site.data.releases | where: "version", "3.1.5" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## リリースコメント
+
+Ruby 開発者の皆様、バグや脆弱性を報告してくれたユーザーの皆様のご協力により本リリースは行われています。
+皆様のご協力に感謝します。
diff --git a/ja/news/_posts/2024-04-23-ruby-3-2-4-released.md b/ja/news/_posts/2024-04-23-ruby-3-2-4-released.md
@@ -0,0 +1,49 @@
+---
+layout: news_post
+title: "Ruby 3.2.4 リリース"
+author: "nagachika"
+translator: "HiroyasuTawwara"
+date: 2024-04-23 10:00:00 +0000
+lang: ja
+---
+
+Ruby 3.2.4 がリリースされました。
+
+このリリースでは以下の脆弱性修正が含まれています。
+詳しくは以下の記事を参照してください。
+
+* [CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性]({%link ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %})
+* [CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性]({%link ja/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md %})
+* [CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性]({%link ja/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md %})
+
+詳しくは [GitHub releases](https://github.com/ruby/ruby/releases/tag/v3_2_4) を参照してください。
+
+## ダウンロード
+
+{% assign release = site.data.releases | where: "version", "3.2.4" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## リリースコメント
+
+Ruby 開発者の皆様、バグや脆弱性を報告してくれたユーザーの皆様のご協力により本リリースは行われています。
+皆様のご協力に感謝します。
diff --git a/ja/news/_posts/2024-04-23-ruby-3-3-1-released.md b/ja/news/_posts/2024-04-23-ruby-3-3-1-released.md
@@ -0,0 +1,49 @@
+---
+layout: news_post
+title: "Ruby 3.3.1 リリース"
+author: "naruse"
+translator: "HiroyasuTawwara"
+date: 2024-04-23 10:00:00 +0000
+lang: ja
+---
+
+Ruby 3.3.1 がリリースされました。
+
+このリリースでは以下の脆弱性修正が含まれています。
+詳しくは以下の記事を参照してください。
+
+* [CVE-2024-27282: 正規表現検索における任意のメモリアドレス読み取りの脆弱性]({%link ja/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %})
+* [CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性]({%link ja/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md %})
+* [CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性]({%link ja/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md %})
+
+詳しくは [GitHub releases](https://github.com/ruby/ruby/releases/tag/v3_3_1) を参照してください。
+
+## ダウンロード
+
+{% assign release = site.data.releases | where: "version", "3.3.1" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## リリースコメント
+
+Ruby 開発者の皆様、バグや脆弱性を報告してくれたユーザーの皆様のご協力により本リリースは行われています。
+皆様のご協力に感謝します。