ruby · sorah · Aug 28, 2019 · Aug 28, 2019 · Aug 28, 2019 · Aug 28, 2019
@@ -9,9 +9,8 @@ lang: en
 ---
 
 
-There are multiple vulnerabilities about Cross-Site Scripting (XSS) in jQuery that is contained by RDoc bundled with Ruby.
-All ruby users are recommended to update ruby to newer version which includes security-fixed RDoc.
-If you are publishing RDoc documentation generated by rdoc, you are recommended to re-generate it with security-fixed RDoc.
+There are multiple vulnerabilities about Cross-Site Scripting (XSS) in jQuery shipped with RDoc which bundled in Ruby.
+All Ruby users are recommended to update Ruby to the latest release which includes the fixed version of RDoc.
 
 ## Details
 
@@ -20,8 +19,8 @@ The following vulnerabilities have been reported.
 * [CVE-2012-6708](https://nvd.nist.gov/vuln/detail/CVE-2012-6708)
 * [CVE-2015-9251](https://nvd.nist.gov/vuln/detail/CVE-2015-9251)
 
-It is strongly recommended for all ruby users to upgrade your Ruby installation or take one of the following workarounds as soon as possible.
-After that, you should re-generate RDoc documentation.
+It is strongly recommended for all Ruby users to upgrade your Ruby installation or take one of the following workarounds as soon as possible.
+You also have to re-generate existing RDoc documentations to completely mitigate the vulnerabilities.
 
 ## Affected Versions
 
@@ -31,22 +30,27 @@ After that, you should re-generate RDoc documentation.
 * Ruby 2.6 series: 2.6.3 and earlier
 * prior to master commit f308ab2131ee675000926540cbb8c13c91dc3be5
 
+## Required actions
+
+RDoc is a static documentation generation tool.
+Patching the tool itself is insufficient to mitigate these vulnerabilities.
+
+So, RDoc documentations generated with previous versions have to be re-generated with newer RDoc.
+
 ## Workarounds
 
 In principle, you should upgrade your Ruby installation to the latest version.
 RDoc 6.1.2 or later includes the fix for the vulnerabilities, so upgrade RDoc to the latest version if you can’t upgrade Ruby itself.
 
+Note that as mentioned earlier, you have to regenerate existing RDoc documentations.
+
 ```
 gem install rdoc -f
 ```
 
-*Update:* The initial version of this post said rdoc-6.1.1.gem which was still vulnerable. Please make sure that you install rdoc-6.1.2 or later.
-
-Regarding the development version (master branch), update to HEAD.
+*Update:* The initial version of this post partially mentioned rdoc-6.1.1.gem, which was still vulnerable. Please make sure that you install rdoc-6.1.2 or later.
 
-RDoc is a static documentation generation tool.
-Patching the library itself is insufficient to correct this exploit.
-Those hosting rdoc documentation will need to re-generate it with security-fixed RDoc.
+Regarding the development version, update to the latest HEAD of master branch.
 
 ## Credits
 
@@ -56,3 +60,4 @@ Thanks to [Chris Seaton](https://hackerone.com/chrisseaton) for reporting the is
 
 * Originally published at 2019-08-28 09:00:00 UTC
 * RDoc version fixed at 2019-08-28 11:50:00 UTC
+* Minor language fixes at 2019-08-28 12:30:00 UTC
@@ -8,9 +8,8 @@ tags: security
 lang: ja
 ---
 
-Ruby の標準添付ライブラリである RDoc に、jQuery に関するクロスサイトスクリプティング（XSS）の脆弱性が発見されました。
-全ての ruby ユーザーは、この問題に対するセキュリティフィックスが含まれた RDoc をバンドルするバージョンに更新することが推奨されます。
-また、現在、RDoc が生成した HTML ドキュメントを公開している場合は、セキュリティフィックスが含まれた RDoc を使用して HTML ドキュメントを再生成する必要があります。
+Ruby の標準添付ライブラリである RDoc に含まれる jQuery においてクロスサイトスクリプティング（XSS）の脆弱性が発見されました。
+全ての Ruby ユーザーは、この問題が修正された RDoc をバンドルする最新バージョンに更新することが推奨されます。
 
 ## 詳細
 
@@ -20,9 +19,7 @@ Ruby の標準添付ライブラリである RDoc に、jQuery に関するク
 * [CVE-2015-9251](https://nvd.nist.gov/vuln/detail/CVE-2015-9251)
 
 この問題の影響を受けるバージョンの Ruby のユーザーは、最新の Ruby に更新するか、下記の回避策を取ってください。
-
-また、現在、RDoc が生成した HTML ドキュメントには、XSS 脆弱性が存在している可能性があります。
-そのため、これらの HTML ドキュメントを公開している場合は、その HTML ドキュメント自体を再生する必要があります。
+また、問題を完全に修正するためには、既に生成されている RDoc ドキュメントを再生成する必要があります。
 
 ## 影響を受けるバージョン
 
@@ -32,21 +29,23 @@ Ruby の標準添付ライブラリである RDoc に、jQuery に関するク
 * Ruby 2.6.3 以前の全ての Ruby 2.6 系列
 * commit f308ab2131ee675000926540cbb8c13c91dc3be5 より前の開発版
 
+## 更新後に実施すべき対応について
+
+なお、RDoc は静的ドキュメント生成ツールです。
+したがって、RDoc 自体を修正しても、既に生成済みの HTML ドキュメントの脆弱性は解消されません。
+これらの HTML ドキュメントを公開している場合は、以上いずれかの対策を行った上で、該当の HTML ドキュメントを再生成してください。
+
 ## 回避策
 
-原則としては、Ruby 自体を最新のリリースに更新してください。それができない場合は、以下のコマンドを実行することにより、RDoc を最新版 (6.1.2 以降) に更新することによって、各脆弱性が修正されます。
+原則としては、Ruby 自体を最新のリリースに更新してください。それができない場合は、以下のコマンドを実行することにより、RDoc を最新版 (6.1.2 以降) に更新することによって、各脆弱性が修正されます。ただし、上記の通り生成されたドキュメントの再生成も必要です。
 
 ```
 gem install rdoc -f
 ```
 
-注意: 当初この記事で rdoc-6.1.1.gem と書いていましたが、これは脆弱なバージョンでした。rdoc-6.1.2 以降を使用してください。
-
-開発版については、HEAD に更新してください。
+注意: 当初この記事で一部 rdoc-6.1.1.gem と書かれていましたが、これは脆弱なバージョンでした。rdoc-6.1.2 以降を使用してください。
 
-なお、RDoc は静的ドキュメント生成ツールです。
-したがって、RDoc 自体を修正しても、既に生成済みの HTML ドキュメントの脆弱性は解消されません。
-これらの HTML ドキュメントを公開している場合は、以上いずれかの対策を行った上で、該当の HTML ドキュメントを再生成してください。
+開発版については、master ブランチの最新 (HEAD) に更新してください。
 
 ## クレジット
 
@@ -56,3 +55,4 @@ gem install rdoc -f
 
 * 2019-08-28 09:00:00 (JST) 初版
 * 2019-08-28 20:50:00 (JST) RDoc のバージョン修正
+* 2019-08-28 21:30:00 (JST) いくつか表現の修正