RubyにOpenSSL関連の脆弱性が複数存在
脆弱性が存在するバージョンは次のとおり。
Ruby 2.2.2よりも前のすべてのRuby 2.2系バージョン
Ruby 2.1.6よりも前のすべてのRuby 2.1系バージョン
Ruby 2.0.0 patchlevel 645よりも前のすべてのRuby 2.0系バージョン
修正されたバージョンでは、ワイルドカードの扱いなどが変わっているため注意が必要。特にOpenSSL::SSL#verify_certificate_identityの挙動が変わることになるため、該当する機能を使っている場合はアップデート後に動作を検証することが望まれる。
Ruby 2.0系はすでにセキュリティ・メンテナンス・フェーズに入っており、2016年2月24日を持ってサポートが終了する見通し。RubyコミュニティではRuby 2.2系やRuby 2.1系などより新しいバージョンへ移行することを推奨している。
提供元の記事
提供:
