Ruby - A Programmer's Best Friend

Rubyコミュニティは4月13日(協定世界時)、「CVE-2015-1855: Ruby OpenSSL Hostname Verification」において、RubyのOpenSSLエクステンションに複数のセキュリティ脆弱性が存在すると伝えた。これはホスト名のマッチング処理を過度に実施してしまうというもので、該当するバージョンを使用している場合は修正されたバージョンへアップグレードすることが強く推奨されている。

脆弱性が存在するバージョンは次のとおり。

Ruby 2.2.2よりも前のすべてのRuby 2.2系バージョン

Ruby 2.1.6よりも前のすべてのRuby 2.1系バージョン

Ruby 2.0.0 patchlevel 645よりも前のすべてのRuby 2.0系バージョン

修正されたバージョンでは、ワイルドカードの扱いなどが変わっているため注意が必要。特にOpenSSL::SSL#verify_certificate_identityの挙動が変わることになるため、該当する機能を使っている場合はアップデート後に動作を検証することが望まれる。

Ruby 2.0系はすでにセキュリティ・メンテナンス・フェーズに入っており、2016年2月24日を持ってサポートが終了する見通し。RubyコミュニティではRuby 2.2系やRuby 2.1系などより新しいバージョンへ移行することを推奨している。