今日は拡張ライブラリ openssl で OpenSSL のデフォルトの暗号化方式の設定に危険なオプションが利用されているのを上書きするような修正が追加されました。
usa: r45273 2014-03-05 22:27:22 +0900
test/ruby/*.rb の警告除去を行なってます。
emboss: r45274 2014-03-06 10:43:53 +0900
拡張ライブラリ openssl で SSL/TLS の暗号方式で、利用している OpenSSL が古くて圧縮が有効になっていても拡張ライブラリ側で削るようにしています。 また SSLv2 と SSLv3 もデフォルトで無効化したり、安全でない暗号化方式は有効にならないようにしています。デフォルト値の上書きなので明示的に指定すれば使えると思うのですが……。圧縮の無効化については、SSL 利用時に圧縮を有効にすると圧縮のかかり具合で内容を推測できてしまうという CRIME と呼ばれる攻撃手法があるので利用しないのがいいそうです。これについては OpenSSL のデフォルト値をセキュアなものに保つようにメンテナンスしてもらって、システム管理者は OpenSSL を更新するようにするのが正しい姿なんじゃないかとか、Ruby の拡張ライブラリ側でデフォルト値を持つと、それをセキュアな状態に保たないといけなくなるし Ruby のメンテナはセキュリティの専門家じゃない(コミッターに詳しい人はいるけど)からむしろリスクが増えるんじゃないかとかいろいろ議論があったようですが、どうも OpenSSL があまりデフォルト値のメンテナンスに興味がないみたいなので Ruby 側で現状危険なものはデフォルト値から弾くようにしたようです。 [ruby-core:59829] [Bug #9424]
svn: r45275 2014-03-06 10:43:57 +0900
version.h の日付更新。
zzak: r45276 2014-03-06 15:08:40 +0900
doc/syntax/methods.rdoc に記載されていたサンプルコードのメソッドが自己再帰していたのを修正しています。 https://github.com/ruby/ruby/pull/554
zzak: r45277 2014-03-06 15:16:35 +0900
doc/syntax/assignment.rdoc で左辺値(left-hand side)と右辺値(right-hand side)の説明を間違えていたところを修正しています。 https://github.com/ruby/ruby/pull/555
