|
|
|
|
|
||
|
||
きれいにまとまってるエントリを発見。
任意のコードが実行される脆弱性についてというRubyのセキュリティパッチ適用バージョン Ruby1.8.6-p230で、Railsを動かしてみると、Bug #211 "wrong argument type" "expected Proc"という具合に、 Segmentation faultしちゃう。
この件については、Railsコミュニティ上でも議論*1されていて、どうやらp189 -> p190 の間でおかしくなった様子*2です。
これについては、Railsコミュニティ上で独自にp230へのパッチを作った人*3がいて、それを適用する事でさしあたりRailsは動く様です。
パッチを適用している人もいました。*4
この問題について、Rubyコミッタの間ではすでに修正が行われ*5、パッチの挙動が検証されて*6、コミットもされたようです。*7
しかしまだ、チケット*8はOpenのステータスのままで、公式にもパッチ適用バージョン(Ruby1.8.6-p23x)は公開されていません。
このため、Ruby1.8.6でRails2.0.xを動かしたい場合は、p189を使うとよいようです。*9
RubyのMLやら、Railsのコミュニティやら、GoogleでBlogを検索したり、Railsのコードやエラーメッセージを追ったりとここまで辿り着くのにえらい手間がかかってしまいました。。。
*1:Multiple Ruby security vulnerabilities
*2:ruby-list:45118 Re: Ruby 1.9.0/1.8.7/1.8.6/1.8.5 new releases (Security Fix)
*3:Robert Thauという方です
*5:ruby-dev:35247 Re: ruby-list:45128 Re: Ruby 1.9.0/1.8.7/1.8.6/1.8.5 new releases (Security Fix)
*6:ruby-dev:35259 Re: ruby-list:45128 Re: Ruby 1.9.0/1.8.7/1.8.6/1.8.5 new releases (Security Fix)
*7:Re: ruby-list:45128 Re: Ruby 1.9.0/1.8.7/1.8.6/1.8.5 new releases (Security Fix)
*8:Bug #211 "wrong argument type" "expected Proc"
*9:ruby-list:45118 Re: Ruby 1.9.0/1.8.7/1.8.6/1.8.5 new releases (Security Fix)
iR32008/07/08 09:23情報ありがとうございました。Rails-1.2.3でもSegmentation faultしてはまっていましたが助かりました。