FAMLog

Ruby on Rails 4.2.11、Ruby on Rails 5.0.7.1、Ruby on Rails 5.1.6.1およびRuby on Rails 5.2.1.1が公開されています。

Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 4.2.11、Rails 5.0.7.1、Rails 5.1.6.1およびRails 5.2.1.1ではActive Jobにおけるセキュリティ脆弱性（CVE-2018-16476）が修正されています。さらに、Rails 5.2.1.1ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正されています。

Ruby on Railsは今年の4月にバージョン5.2が公開されており、バージョン5.2では、Redisキャッシュストアが組み込まれ、HTTP/2 Early Hintsをサポートするようになっています。その他、config/credentials.yml.encファイルが追加されて、productionアプリの秘密情報（secret）をここに保存できるようになるなど、数多くの新機能が追加されています。

（2019/03/15追記：「Rails 5.2.11ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正」を「Rails 5.2.1.1ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正」に変更・修正しました。）

Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8が公開されています。

Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8では、Array#packおよびString#unpackの一部のフォーマット指定においてtaintフラグが伝播しない脆弱性（CVE-2018-16396）と、OpenSSL::X509::Nameの同一性判定が機能していない脆弱性（CVE-2018-16395）が修正されています。

なお、当初Ruby 2.4.5およびRuby 2.3.8と同時にRuby 2.5.2が公開されていましたが、バージョン2.5.2のパッケージファイルにはパッケージングのミスによりビルドに必要ないくつかのファイルが含まれていませんでした。パッケージファイルの作り直しのためにRuby 2.5.3として修正版が公開された次第です。

日本Rubyの会の有志が発行しているWeb雑誌「Rubyist Magazine」（通称「るびま」）の0058 号が公開されています。

「るびま」は、プログラミング言語Rubyに関する技術記事や活用事例、インタビュー、エッセイなどが掲載されるWeb雑誌です。

Rubyist Magazine 0058 号には、るびまのバージョンアップの内容を記した記事やRubyistへのインタビュー記事、国内で開催された地域Ruby会議のレポートなどが掲載されています。

Rubyのバージョン2.2系列は2018年3月に公式サポートが終了しました。

バージョン2.2のサポート終了に伴い、今後Ruby 2.2系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。なお、現時点におけるRubyの最新安定版は、2018年3月に公開されたRuby 2.5.1です。

Ruby 2.3系列については、2019年3月末で公式サポートが終了する予定となっています。Ruby 2.3.7のリリースをもってRuby 2.3系列は通常メンテナンスフェーズを終了し、セキュリティメンテナンスフェーズに移行しています。セキュリティメンテナンスの期間は1年間で、この間は重大なセキュリティ上の問題への対応のみが行われます。

［関連］Support of Ruby 2.2 has ended

Ruby 2.5.1、Ruby 2.4.4、Ruby 2.3.7およびRuby 2.2.10が2018年3月下旬に公開されています。

Ruby 2.5.1、Ruby 2.4.4、Ruby 2.3.7およびRuby 2.2.10では、WEBrickにおけるHTTPレスポンス偽装の脆弱性や、TempfileおよびTmpdirでのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性など、7点のセキュリティ脆弱性が修正されています。

なお、2018年3月末をもって、Ruby 2.2系列のセキュリティメンテナンスならびに公式サポートが終了する予定となっており、以後Ruby 2.2系列は公式には更新されなくなります。

2018年3月28日に行われた「INTER-Mediator勉強会2018-#2」で発表した資料を公開しました。

・ダウンロード：Selenium WebDriverを利用したサンプルアプリケーションのテスト（PDF形式／ファイルサイズ：約450KB）

「Testing-INTER-Mediator-Samples.pdf」のSHA-256メッセージダイジェスト：
d43db0f5120b6e6db2fdc91925b728b16003dfdda9d2fe0ef607af8cdb815077

■関連リンク

・INTER-Mediator
https://inter-mediator.com/

・INTER-Mediator-Server VM
http://inter-mediator.info/ja/for-novices/vm.html

・Selenium WebDriver
https://www.seleniumhq.org/projects/webdriver/

（2022年5月1日追記：スライドへのリンクをSlideShareからドクセルに変更しました。）

Rubyの標準添付ライブラリであるRubyGemsに複数の脆弱性が発見され、各セキュリティ脆弱性が修正されたRubyGems 2.7.6が2018年2月中旬に公開されています。

現時点では、上記脆弱性の修正に対応したRubyはリリースされていませんが、RubyGemsを最新版（バージョン2.7.6以降）に更新することによって各脆弱性が修正されます。

RubyGemsを更新するには以下のコマンドを実行します。

［実行例］
gem update --system

日本Rubyの会の有志が発行しているWeb雑誌「Rubyist Magazine」（通称「るびま」）の0057 号が公開されています。

「るびま」は、プログラミング言語Rubyに関する技術記事や活用事例、インタビュー、エッセイなどが掲載されるWeb雑誌です。

Rubyist Magazine 0057 号には、Rubyでブラウザー用ゲームを作るためのライブラリであるDXOpalの紹介記事や、国内で開催された地域Ruby会議のレポートなどが掲載されています。

Ruby 2.5系列の安定版である「Ruby 2.5.0」が公開されています。

Ruby 2.5.0では、do/endブロック内において例外処理の記述が可能になり、分岐カバレッジとメソッドカバレッジの計測がサポートされるようになっています。サポートしているUnicodeのバージョンが10.0.0に更新されている他、さまざまなパフォーマンス改善や機能追加が行われています。

なお、2018年3月末頃を目処に保守が終了する予定であるRuby 2.2系列は、現在セキュリティメンテナンスフェーズにあり、原則として重大なセキュリティ上の問題が発見された場合のみリリースが行われる状態であり、より新しいバージョンへ移行することが推奨されている状況です。

Ruby 2.4.3、Ruby 2.3.6およびRuby 2.2.9が2017年12月中旬に公開されています。

Ruby 2.4.3、Ruby 2.3.6およびRuby 2.2.9では、Net::FTPにおけるコマンドインジェクションの脆弱性（CVE-2017-17405）が修正されています。また、Ruby 2.3.6およびRuby 2.2.9ではRubyGemsにおける安全でないオブジェクトの逆シリアル化の脆弱性も修正されています。

なお、Ruby 2.2系列は現在セキュリティメンテナンスフェーズにあり、このフェーズ中は重大なセキュリティ上の問題への対応のみが行われます。現在の予定では、2018年3月末頃を目処に、Ruby 2.2系列のセキュリティメンテナンスならびに公式サポートが終了する見込みとなっています。