このruby2.5およびruby-bundled-gems-rpmhelper用更新プログラムでは、以下の問題を修正します。

ruby2.5での変更：

2.5.5および2.5.4への更新：

https://www.ruby-lang.org/en/news/2019/03/15/ruby-2-5-5-released/https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-5-4-released/

キャッシュサイドチャネル攻撃の軽減：

  - CVE-2019-8320：tarの展開時にシンボリックリンクを使用して、ディレクトリを削除します（bsc#1130627）

  - CVE-2019-8321：詳細におけるエスケープシーケンスインジェクションの脆弱性（bsc#1130623）

  - CVE-2019-8322：gem所有者におけるエスケープシーケンスインジェクションの脆弱性（bsc#1130622）

  - CVE-2019-8323：APIレスポンス処理におけるエスケープシーケンスインジェクションの脆弱性（bsc#1130620）

  - CVE-2019-8324：悪意のあるgemをインストールすると、任意のコードが実行される可能性があります（bsc#1130617）

  - CVE-2019-8325：エラーにおけるエスケープシーケンスインジェクションの脆弱性（bsc#1130611）

Ruby 2.5は2.5.3に更新されました：

このリリースには、いくつかのバグ修正およびセキュリティ修正が含まれています。

キャッシュサイドチャネル攻撃の軽減：

  - CVE-2018-16396：汚染されたフラグは、Array#packおよびString#unpack内で一部のディレクティブを使用して伝達されません（bsc#1112532）

  - CVE-2018-16395：OpenSSL：:X509：: Nameの等価性チェックが適切に動作しない（bsc#1112530）

Ruby 2.5は2.5.1に更新されました：

このリリースには、いくつかのバグ修正およびセキュリティ修正が含まれています。

キャッシュサイドチャネル攻撃の軽減：

  - CVE-2017-17742：WEBrickでのHTTP応答分割（bsc#1087434）

  - CVE-2018-6914：tempfileおよびtmpdirのディレクトリトラバーサルによる意図しないファイルとディレクトリの作成（bsc#1087441）

  - CVE-2018-8777：WEBrickの大きなリクエストによるDoS（bsc#1087436）

  - CVE-2018-8778：String#unpackでのバッファアンダーリード（bsc#1087433）

  - CVE-2018-8779：UNIXServerおよびUNIXSocketの侵害されたNULバイトによる意図しないソケットの作成（bsc#1087440）

  - CVE-2018-8780：Dirの侵害されたNULバイトによる意図しないディレクトリトラバーサル（bsc#1087437）

  - RubyGemsの複数の脆弱性が修正されました：

  - CVE-2018-1000079：ファイルシステムの任意の場所に書き込む可能性があるgemのインストール中のパストラバーサルの問題を修正しました（bsc#1082058）

  - CVE-2018-1000075：tarヘッダーの負のサイズによる無限ループの脆弱性がサービス拒否を引き起こす問題を修正しました（bsc#1082014）

  - CVE-2018-1000078：gemサーバー経由で表示された場合のホームページ属性のXSSの脆弱性を修正しました（bsc#1082011）

  - CVE-2018-1000077：ホームページ仕様属性にURL認証がないため、悪意のあるgemが無効なホームページURLを設定する可能性がある問題を修正しました（bsc#1082010）

  - CVE-2018-1000076：tarballの署名の不適切な検証により、不正に署名されたgemがインストールされる問題を修正しました（bsc#1082009）

  - CVE-2018-1000074：特別に細工されたYAMLで任意のコードが実行される可能性がある、gem所有者の安全でないオブジェクト逆シリアル化の脆弱性を修正しました（bsc#1082008）

  - CVE-2018-1000073：root外でシンボリックリンク化されたbasedirに書き込むときのパストラバーサルを修正しました（bsc#1082007）

その他の変更：

  - 修正済みネット：: POPMailメソッドが、デフォルトの引数の使用時にフリーズリテラルを変更します

  - ruby：2019年5月1日に日本の暦が新しい天皇の時代へ変更（bsc#1133790）

  - PIEサポートで構築されます（bsc#1130028）

ruby-bundled-gems-rpmhelperでの変更：

  - バンドルされたruby gemに対する新しいヘルパーを追加します。

この更新はSUSEからインポートされました：SLE-15：更新プロジェクトを更新します。

検出

openSUSEセキュリティ更新プログラム：ruby-bundled-gems-rpmhelper/ruby2.5（openSUSE-2019-1771）

critical Nessus プラグイン ID 126904

バージョン 1.5