Skip to content

Ruby release 2019 04 01 #2025

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Merged
merged 2 commits into from
Apr 1, 2019
Merged
Show file tree
Hide file tree
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
2 changes: 1 addition & 1 deletion _data/downloads.yml
Original file line number Diff line number Diff line change
Expand Up @@ -9,7 +9,7 @@ stable:

- 2.6.2
- 2.5.5
- 2.4.5
- 2.4.6

# optional
security_maintenance:
Expand Down
14 changes: 14 additions & 0 deletions _data/releases.yml
Original file line number Diff line number Diff line change
Expand Up @@ -249,6 +249,20 @@

# 2.4 series

- version: 2.4.6
date: 2019-04-01
post: /en/news/2019/04/01/ruby-2-4-6-released/
url:
bz2: https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2
gz: https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz
xz: https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz
zip: https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip
sha256:
bz2: 909f360debed1f22fdcfc9f5335c6eaa0713198db4a6c13bab426f8b89b28b02
gz: de0dc8097023716099f7c8a6ffc751511b90de7f5694f401b59f2d071db910be
xz: 25da31b9815bfa9bba9f9b793c055a40a35c43c6adfb1fdbd81a09099f9b529c
zip: c5de9f11d4b7608d57139b96f7bc94899bb2fc9dee2e192c8951f6647a9d60f7

- version: 2.4.5
date: 2018-10-17
post: /en/news/2018/10/17/ruby-2-4-5-released/
Expand Down
Original file line number Diff line number Diff line change
Expand Up @@ -22,18 +22,20 @@ The following vulnerabilities have been reported.
* CVE-2019-8324: Installing a malicious gem may lead to arbitrary code execution
* CVE-2019-8325: Escape sequence injection vulnerability in errors

It is strongly recommended for Ruby users to take one of the following workarounds as soon as possible.
It is strongly recommended for Ruby users to upgrade your Ruby installation or take one of the following workarounds as soon as possible.

## Affected Versions

* Ruby 2.3 series: all
* Ruby 2.4 series: 2.4.5 and earlier
* Ruby 2.5 series: 2.5.3 and earlier
* Ruby 2.6 series: 2.6.1 and earlier
* prior to trunk revision 67168

## Workarounds

RubyGems 2.7.6.2/2.7.9/3.0.3 or later includes the fix for the vulnerabilities, so upgrade RubyGems to the latest version.
In principle, you should upgrade your Ruby installation to the latest version.
RubyGems 3.0.3 or later includes the fix for the vulnerabilities, so upgrade RubyGems to the latest version if you can’t upgrade Ruby itself.

```
gem update --system
Expand All @@ -55,3 +57,4 @@ This report is based on [the official blog of RubyGems](http://blog.rubygems.org

* Originally published at 2019-03-05 00:00:00 UTC
* Link to updated patches at 2019-03-06 05:26:27 UTC
* Mention about upgrading Ruby itself at 2019-04-01 06:00:00 UTC
55 changes: 55 additions & 0 deletions en/news/_posts/2019-04-01-ruby-2-4-6-released.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,55 @@
---
layout: news_post
title: "Ruby 2.4.6 Released"
author: "usa"
translator:
date: 2019-04-01 06:00:00 +0000
lang: en
---

Ruby 2.4.6 has been released.

This release includes about 20 bug fixes after the previous release, and also includes several security fixes.
Please check the topics below for details.

* [Multiple vulnerabilities in RubyGems](/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/)

See the [commit log](https://github.com/ruby/ruby/compare/v2_4_5...v2_4_6) for details.

After this release, we will end the normal maintenance phase of Ruby 2.4,
and start the security maintenance phase of it.
This means that after the release of 2.4.6 we will never backport any bug fixes
to 2.4 except security fixes.
The term of the security maintenance phase is scheduled for 1 year.
By the end of this term, official support of Ruby 2.4 will be over.
Therefore, we recommend that you start planning to upgrade to Ruby 2.6 or 2.5.

## Download

* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2)
SIZE: 12623913 bytes
SHA1: b44b5c6637a69b3b95971b1937ecb583dc1de568
SHA256: 909f360debed1f22fdcfc9f5335c6eaa0713198db4a6c13bab426f8b89b28b02
SHA512: 292802984e5cff6d526d817bde08216fe801d255c4cede0646e450f22d4a3a81ae612ec5d193dcc2a888e3e98b2531af845b6b863a2952bcf3fb863f95368bcf
* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz)
SIZE: 15880585 bytes
SHA1: 3bc2d9ab3381887c57e0fb7937dc14e9f419f06c
SHA256: de0dc8097023716099f7c8a6ffc751511b90de7f5694f401b59f2d071db910be
SHA512: 7eb7720961e98e22e4335c38eeead9db96d049ef3ac1da437769b98fee7a10feb092643ce75822a2fe3bd5fd94938417ab5c2de7c6056afe0abf6e4cf03ca282
* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz)
SIZE: 10005544 bytes
SHA1: 86a4fa22cb3547005ec4bfcf77489a4254226187
SHA256: 25da31b9815bfa9bba9f9b793c055a40a35c43c6adfb1fdbd81a09099f9b529c
SHA512: eafb2257747f99e2ed262af142e71175b70f7cceaa4d1253b92c8337f075a9a58a2d93b029d75e11a9b124f112a8f0983273b2b30afc147b5cf71a8dbb5fa0ba
* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip)
SIZE: 17469891 bytes
SHA1: 0e55d231c0e119304e077e42923ce6a1c3daa1d1
SHA256: c5de9f11d4b7608d57139b96f7bc94899bb2fc9dee2e192c8951f6647a9d60f7
SHA512: cfa779cdb970dfd35dc2a97951310cb3cde1d380b040c283fda6609c591039817a2847ab7174f7a9ee7f7adbb610709b57914bb26e5c015a20d5fe880c569855

## Release Comment

Sorry for making you wait for a long time.
Thanks to everyone who helped with this release.

The maintenance of Ruby 2.4, including this release, is based on the “Agreement for the Ruby stable version” of the Ruby Association.
Original file line number Diff line number Diff line change
@@ -0,0 +1,56 @@
---
layout: news_post
title: "RubyGems の複数の脆弱性について"
author: "hsbt"
translator: "usa"
date: 2019-03-05 00:00:00 +0000
tags: security
lang: ja
---

Ruby の標準添付ライブラリである RubyGems に、複数の脆弱性が発見されました。RubyGems の公式ブログにて[報告されています](http://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html)。

## 詳細

以下の脆弱性が報告されています。

* CVE-2019-8320: Delete directory using symlink when decompressing tar
* CVE-2019-8321: Escape sequence injection vulnerability in `verbose`
* CVE-2019-8322: Escape sequence injection vulnerability in `gem owner`
* CVE-2019-8323: Escape sequence injection vulnerability in API response handling
* CVE-2019-8324: Installing a malicious gem may lead to arbitrary code execution
* CVE-2019-8325: Escape sequence injection vulnerability in errors

この問題の影響を受けるバージョンの Ruby のユーザーは、最新の Ruby に更新するか、下記の回避策を取ってください。

## 影響を受けるバージョン

* Ruby 2.3 系列の全てのリリース
* Ruby 2.4.5 以前の全ての Ruby 2.4 系列
* Ruby 2.5.3 以前の全ての Ruby 2.5 系列
* Ruby 2.6.1 以前の全ての Ruby 2.6 系列
* revision 67168 より前の開発版

## 回避策

原則としては、Ruby 自体を最新のリリースに更新してください。それができない場合は、以下のコマンドを実行することにより、RubyGems を最新版 (3.0.3 以降) に更新することによって、各脆弱性が修正されます。

```
gem update --system
```

もし何らかの理由で RubyGems 全体をも更新できない場合は、脆弱性対応のみを行うパッチが Ruby の各バージョン向けに用意されていますので、以下より入手・適用してください。

* [Ruby 2.4.5 用](https://bugs.ruby-lang.org/attachments/7669)
* [Ruby 2.5.3 用](https://bugs.ruby-lang.org/attachments/7670)
* [Ruby 2.6.1 用](https://bugs.ruby-lang.org/attachments/7671)

なお、開発版については、最新のリビジョンに更新してください。

## クレジット

この脆弱性情報は、[RubyGems 公式ブログ](http://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html)に基づいています。

## 更新履歴

* 2019-04-01 15:00:00 (JST) [en](/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/)第3版より訳出
52 changes: 52 additions & 0 deletions ja/news/_posts/2019-04-01-ruby-2-4-6-released.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,52 @@
---
layout: news_post
title: "Ruby 2.4.6 リリース"
author: "usa"
translator:
date: 2019-04-01 06:00:00 +0000
lang: ja
---

Ruby 2.4.6 がリリースされました。
これは安定版 2.4 系列の TEENY リリースです。

今回のリリースでは、前回リリースから 20 件ほどのバグ修正が行われ、安定性のさらなる向上が図られています。
また、以下のセキュリティ上の問題に対する対応が含まれています。

* [RubyGems の複数の脆弱性について](/ja/news/2019/03/05/multiple-vulnerabilities-in-rubygems/)への対応

詳しくは、対応する [commit log](https://github.com/ruby/ruby/compare/v2_4_5...v2_4_6) を参照してください。

今回のリリースをもって、2.4 系列は通常メンテナンスフェーズを終了し、セキュリティメンテナンスフェーズへ移行します。セキュリティメンテナンスフェーズの期間は 1 年間を予定しており、この間は重大なセキュリティ上の問題への対応のみが行われます。セキュリティメンテナンスフェーズ期間の満了をもって、2.4 系列の公式サポートは終了します。
現在、2.4 系列を利用しているユーザーの皆さんは、なるべく早く、2.6 系列等のより新しいバージョン系列の Ruby への移行を検討されるよう、お勧めします。

※ただし、今回のリリースにおいて何らかの重大な互換性問題が発見された場合は、これに対応するためのリリースが行われる可能性はあります。

## ダウンロード

* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.bz2)
SIZE: 12623913 bytes
SHA1: b44b5c6637a69b3b95971b1937ecb583dc1de568
SHA256: 909f360debed1f22fdcfc9f5335c6eaa0713198db4a6c13bab426f8b89b28b02
SHA512: 292802984e5cff6d526d817bde08216fe801d255c4cede0646e450f22d4a3a81ae612ec5d193dcc2a888e3e98b2531af845b6b863a2952bcf3fb863f95368bcf
* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.gz)
SIZE: 15880585 bytes
SHA1: 3bc2d9ab3381887c57e0fb7937dc14e9f419f06c
SHA256: de0dc8097023716099f7c8a6ffc751511b90de7f5694f401b59f2d071db910be
SHA512: 7eb7720961e98e22e4335c38eeead9db96d049ef3ac1da437769b98fee7a10feb092643ce75822a2fe3bd5fd94938417ab5c2de7c6056afe0abf6e4cf03ca282
* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.tar.xz)
SIZE: 10005544 bytes
SHA1: 86a4fa22cb3547005ec4bfcf77489a4254226187
SHA256: 25da31b9815bfa9bba9f9b793c055a40a35c43c6adfb1fdbd81a09099f9b529c
SHA512: eafb2257747f99e2ed262af142e71175b70f7cceaa4d1253b92c8337f075a9a58a2d93b029d75e11a9b124f112a8f0983273b2b30afc147b5cf71a8dbb5fa0ba
* [https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip](https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.6.zip)
SIZE: 17469891 bytes
SHA1: 0e55d231c0e119304e077e42923ce6a1c3daa1d1
SHA256: c5de9f11d4b7608d57139b96f7bc94899bb2fc9dee2e192c8951f6647a9d60f7
SHA512: cfa779cdb970dfd35dc2a97951310cb3cde1d380b040c283fda6609c591039817a2847ab7174f7a9ee7f7adbb610709b57914bb26e5c015a20d5fe880c569855

## リリースコメント

遅くなってすみません。リリースに協力してくれた皆様に感謝します。

このリリースを含む Ruby 2.4 系列の保守は、[一般財団法人 Ruby アソシエーション](http://www.ruby.or.jp/)の Ruby 安定版保守委託事業に基いています。