Ruby、RubyGemsのセキュリティ問題を対処
Ruby 1.9系にあったセキュリティ問題を修正した「Ruby 1.9.3-p194」及び「Ruby 1.9.2-p320」が公開された。
どちらもRubyスクリプト言語用のパッケージ管理フレームワーク「RubyGems」のバージョンを1.8.23に更新し、RubyGemsにあった脆弱性に対処している。
RubyGems 1.8.23で、SSLサーバ証明書の検証を行う機能の導入とhttpsからhttpへのリダイレクトを許可しないようにする2つセキュリティ修正が行われている。
この修正によって、RubyGemsはhttpsと安全に通信できるようになる。
RubyGems 1.8.23のリリースノートによると、SSL証明書の使用は、.gemrcや/etc/gemrcで「:ssl_ca_cert」オプション及び「:ssl_verify_mode」オプションで設定するという。
また、「:ssl_ca_cert」に使用するhttpsサーバのCA証明書またはCA証明書を含むファイルを指定するよう推奨しており、「:ssl_verify_mode」を「0」にすることでSSL証明書のチェックを無効にできるがその設定は行うべきではないとしている。
公開されたメンテナンスバージョンは、RubyGemsの修正のほかにも様々な修正が行われており、開発チームはRubyユーザに対してアップデートを行うよう奨励している。
どちらもRubyスクリプト言語用のパッケージ管理フレームワーク「RubyGems」のバージョンを1.8.23に更新し、RubyGemsにあった脆弱性に対処している。
RubyGems 1.8.23で、SSLサーバ証明書の検証を行う機能の導入とhttpsからhttpへのリダイレクトを許可しないようにする2つセキュリティ修正が行われている。
RubyGems 1.8.23のリリースノートによると、SSL証明書の使用は、.gemrcや/etc/gemrcで「:ssl_ca_cert」オプション及び「:ssl_verify_mode」オプションで設定するという。
また、「:ssl_ca_cert」に使用するhttpsサーバのCA証明書またはCA証明書を含むファイルを指定するよう推奨しており、「:ssl_verify_mode」を「0」にすることでSSL証明書のチェックを無効にできるがその設定は行うべきではないとしている。
公開されたメンテナンスバージョンは、RubyGemsの修正のほかにも様々な修正が行われており、開発チームはRubyユーザに対してアップデートを行うよう奨励している。
