ruby · unak · Apr 1, 2019 · Apr 1, 2019 · Apr 1, 2019
@@ -9,7 +9,7 @@ stable:
 
   - 2.6.2
   - 2.5.5
-  - 2.4.5
+  - 2.4.6
 
 # optional
 security_maintenance:

@@ -249,6 +249,20 @@
 
 # 2.4 series
 
+- version: 2.4.6
+  date: 2019-04-01
+  post: /en/news/2019/04/01/ruby-2-4-6-released/
+  url:
+    bz2: https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2
+    gz:  https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz
+    xz:  https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz
+    zip: https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip
+  sha256:
+    bz2: 909f360debed1f22fdcfc9f5335c6eaa0713198db4a6c13bab426f8b89b28b02
+    gz:  de0dc8097023716099f7c8a6ffc751511b90de7f5694f401b59f2d071db910be
+    xz:  25da31b9815bfa9bba9f9b793c055a40a35c43c6adfb1fdbd81a09099f9b529c
+    zip: c5de9f11d4b7608d57139b96f7bc94899bb2fc9dee2e192c8951f6647a9d60f7
+
 - version: 2.4.5
   date: 2018-10-17
   post: /en/news/2018/10/17/ruby-2-4-5-released/

@@ -22,18 +22,20 @@ The following vulnerabilities have been reported.
 * CVE-2019-8324: Installing a malicious gem may lead to arbitrary code execution
 * CVE-2019-8325: Escape sequence injection vulnerability in errors
 
-It is strongly recommended for Ruby users to take one of the following workarounds as soon as possible.
+It is strongly recommended for Ruby users to upgrade your Ruby installation or take one of the following workarounds as soon as possible.
 
 ## Affected Versions
 
+* Ruby 2.3 series: all
 * Ruby 2.4 series: 2.4.5 and earlier
 * Ruby 2.5 series: 2.5.3 and earlier
 * Ruby 2.6 series: 2.6.1 and earlier
 * prior to trunk revision 67168
 
 ## Workarounds
 
-RubyGems 2.7.6.2/2.7.9/3.0.3 or later includes the fix for the vulnerabilities, so upgrade RubyGems to the latest version.
+In principle, you should upgrade your Ruby installation to the latest version.
+RubyGems 3.0.3 or later includes the fix for the vulnerabilities, so upgrade RubyGems to the latest version if you can’t upgrade Ruby itself.
 
 ```
 gem update --system
@@ -55,3 +57,4 @@ This report is based on [the official blog of RubyGems](http://blog.rubygems.org
 
 * Originally published at 2019-03-05 00:00:00 UTC
 * Link to updated patches at 2019-03-06 05:26:27 UTC
+* Mention about upgrading Ruby itself at 2019-04-01 06:00:00 UTC
@@ -0,0 +1,55 @@
+---
+layout: news_post
+title: "Ruby 2.4.6 Released"
+author: "usa"
+translator:
+date: 2019-04-01 06:00:00 +0000
+lang: en
+---
+
+Ruby 2.4.6 has been released.
+
+This release includes about 20 bug fixes after the previous release, and also includes several security fixes.
+Please check the topics below for details.
+
+* [Multiple vulnerabilities in RubyGems](/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/)
+
+See the [commit log](https://github.com/ruby/ruby/compare/v2_4_5...v2_4_6) for details.
+
+After this release, we will end the normal maintenance phase of Ruby 2.4,
+and start the security maintenance phase of it.
+This means that after the release of 2.4.6 we will never backport any bug fixes
+to 2.4 except security fixes.
+The term of the security maintenance phase is scheduled for 1 year.
+By the end of this term, official support of Ruby 2.4 will be over.
+Therefore, we recommend that you start planning to upgrade to Ruby 2.6 or 2.5.
+
+## Download
+
+* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2)
+      SIZE:   12623913 bytes
+      SHA1:   b44b5c6637a69b3b95971b1937ecb583dc1de568
+      SHA256: 909f360debed1f22fdcfc9f5335c6eaa0713198db4a6c13bab426f8b89b28b02
+      SHA512: 292802984e5cff6d526d817bde08216fe801d255c4cede0646e450f22d4a3a81ae612ec5d193dcc2a888e3e98b2531af845b6b863a2952bcf3fb863f95368bcf
+* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz)
+      SIZE:   15880585 bytes
+      SHA1:   3bc2d9ab3381887c57e0fb7937dc14e9f419f06c
+      SHA256: de0dc8097023716099f7c8a6ffc751511b90de7f5694f401b59f2d071db910be
+      SHA512: 7eb7720961e98e22e4335c38eeead9db96d049ef3ac1da437769b98fee7a10feb092643ce75822a2fe3bd5fd94938417ab5c2de7c6056afe0abf6e4cf03ca282
+* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz)
+      SIZE:   10005544 bytes
+      SHA1:   86a4fa22cb3547005ec4bfcf77489a4254226187
+      SHA256: 25da31b9815bfa9bba9f9b793c055a40a35c43c6adfb1fdbd81a09099f9b529c
+      SHA512: eafb2257747f99e2ed262af142e71175b70f7cceaa4d1253b92c8337f075a9a58a2d93b029d75e11a9b124f112a8f0983273b2b30afc147b5cf71a8dbb5fa0ba
+* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip)
+      SIZE:   17469891 bytes
+      SHA1:   0e55d231c0e119304e077e42923ce6a1c3daa1d1
+      SHA256: c5de9f11d4b7608d57139b96f7bc94899bb2fc9dee2e192c8951f6647a9d60f7
+      SHA512: cfa779cdb970dfd35dc2a97951310cb3cde1d380b040c283fda6609c591039817a2847ab7174f7a9ee7f7adbb610709b57914bb26e5c015a20d5fe880c569855
+
+## Release Comment
+
+Sorry for making you wait for a long time.
+Thanks to everyone who helped with this release.
+
+The maintenance of Ruby 2.4, including this release, is based on the “Agreement for the Ruby stable version” of the Ruby Association.
@@ -0,0 +1,56 @@
+---
+layout: news_post
+title: "RubyGems の複数の脆弱性について"
+author: "hsbt"
+translator: "usa"
+date: 2019-03-05 00:00:00 +0000
+tags: security
+lang: ja
+---
+
+Ruby の標準添付ライブラリである RubyGems に、複数の脆弱性が発見されました。RubyGems の公式ブログにて[報告されています](http://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html)。
+
+## 詳細
+
+以下の脆弱性が報告されています。
+
+* CVE-2019-8320: Delete directory using symlink when decompressing tar
+* CVE-2019-8321: Escape sequence injection vulnerability in `verbose`
+* CVE-2019-8322: Escape sequence injection vulnerability in `gem owner`
+* CVE-2019-8323: Escape sequence injection vulnerability in API response handling
+* CVE-2019-8324: Installing a malicious gem may lead to arbitrary code execution
+* CVE-2019-8325: Escape sequence injection vulnerability in errors
+
+この問題の影響を受けるバージョンの Ruby のユーザーは、最新の Ruby に更新するか、下記の回避策を取ってください。
+
+## 影響を受けるバージョン
+
+* Ruby 2.3 系列の全てのリリース
+* Ruby 2.4.5 以前の全ての Ruby 2.4 系列
+* Ruby 2.5.3 以前の全ての Ruby 2.5 系列
+* Ruby 2.6.1 以前の全ての Ruby 2.6 系列
+* revision 67168 より前の開発版
+
+## 回避策
+
+原則としては、Ruby 自体を最新のリリースに更新してください。それができない場合は、以下のコマンドを実行することにより、RubyGems を最新版 (3.0.3 以降) に更新することによって、各脆弱性が修正されます。
+
+```
+gem update --system
+```
+
+もし何らかの理由で RubyGems 全体をも更新できない場合は、脆弱性対応のみを行うパッチが Ruby の各バージョン向けに用意されていますので、以下より入手・適用してください。
+
+* [Ruby 2.4.5 用](https://bugs.ruby-lang.org/attachments/7669)
+* [Ruby 2.5.3 用](https://bugs.ruby-lang.org/attachments/7670)
+* [Ruby 2.6.1 用](https://bugs.ruby-lang.org/attachments/7671)
+
+なお、開発版については、最新のリビジョンに更新してください。
+
+## クレジット
+
+この脆弱性情報は、[RubyGems 公式ブログ](http://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html)に基づいています。
+
+## 更新履歴
+
+* 2019-04-01 15:00:00 (JST) [en](/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/)第3版より訳出
@@ -0,0 +1,52 @@
+---
+layout: news_post
+title: "Ruby 2.4.6 リリース"
+author: "usa"
+translator:
+date: 2019-04-01 06:00:00 +0000
+lang: ja
+---
+
+Ruby 2.4.6 がリリースされました。
+これは安定版 2.4 系列の TEENY リリースです。
+
+今回のリリースでは、前回リリースから 20 件ほどのバグ修正が行われ、安定性のさらなる向上が図られています。
+また、以下のセキュリティ上の問題に対する対応が含まれています。
+
+* [RubyGems の複数の脆弱性について](/ja/news/2019/03/05/multiple-vulnerabilities-in-rubygems/)への対応
+
+詳しくは、対応する [commit log](https://github.com/ruby/ruby/compare/v2_4_5...v2_4_6) を参照してください。
+
+今回のリリースをもって、2.4 系列は通常メンテナンスフェーズを終了し、セキュリティメンテナンスフェーズへ移行します。セキュリティメンテナンスフェーズの期間は 1 年間を予定しており、この間は重大なセキュリティ上の問題への対応のみが行われます。セキュリティメンテナンスフェーズ期間の満了をもって、2.4 系列の公式サポートは終了します。
+現在、2.4 系列を利用しているユーザーの皆さんは、なるべく早く、2.6 系列等のより新しいバージョン系列の Ruby への移行を検討されるよう、お勧めします。
+
+※ただし、今回のリリースにおいて何らかの重大な互換性問題が発見された場合は、これに対応するためのリリースが行われる可能性はあります。
+
+## ダウンロード
+
+* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2)
+      SIZE:   12623913 bytes
+      SHA1:   b44b5c6637a69b3b95971b1937ecb583dc1de568
+      SHA256: 909f360debed1f22fdcfc9f5335c6eaa0713198db4a6c13bab426f8b89b28b02
+      SHA512: 292802984e5cff6d526d817bde08216fe801d255c4cede0646e450f22d4a3a81ae612ec5d193dcc2a888e3e98b2531af845b6b863a2952bcf3fb863f95368bcf
+* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz)
+      SIZE:   15880585 bytes
+      SHA1:   3bc2d9ab3381887c57e0fb7937dc14e9f419f06c
+      SHA256: de0dc8097023716099f7c8a6ffc751511b90de7f5694f401b59f2d071db910be
+      SHA512: 7eb7720961e98e22e4335c38eeead9db96d049ef3ac1da437769b98fee7a10feb092643ce75822a2fe3bd5fd94938417ab5c2de7c6056afe0abf6e4cf03ca282
+* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz)
+      SIZE:   10005544 bytes
+      SHA1:   86a4fa22cb3547005ec4bfcf77489a4254226187
+      SHA256: 25da31b9815bfa9bba9f9b793c055a40a35c43c6adfb1fdbd81a09099f9b529c
+      SHA512: eafb2257747f99e2ed262af142e71175b70f7cceaa4d1253b92c8337f075a9a58a2d93b029d75e11a9b124f112a8f0983273b2b30afc147b5cf71a8dbb5fa0ba
+* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip)
+      SIZE:   17469891 bytes
+      SHA1:   0e55d231c0e119304e077e42923ce6a1c3daa1d1
+      SHA256: c5de9f11d4b7608d57139b96f7bc94899bb2fc9dee2e192c8951f6647a9d60f7
+      SHA512: cfa779cdb970dfd35dc2a97951310cb3cde1d380b040c283fda6609c591039817a2847ab7174f7a9ee7f7adbb610709b57914bb26e5c015a20d5fe880c569855
+
+## リリースコメント
+
+遅くなってすみません。リリースに協力してくれた皆様に感謝します。
+
+このリリースを含む Ruby 2.4 系列の保守は、[一般財団法人 Ruby アソシエーション](http://www.ruby.or.jp/)の Ruby 安定版保守委託事業に基いています。
-Original file line number
+Diff line change
@@ Expand Up / @@ -9,7 +9,7 @@ stable: @@
       - 2.6.2
       - 2.5.5
-      - 2.4.5
+      - 2.4.6
     # optional
     security_maintenance:
@@ Expand Down @@