Merge pull request ruby#1625 from unak/multiple-vulnerabilities-in-rubygems

Multiple vulnerabilities in RubyGems

Author: hsbt

en/news/_posts/2017-08-29-multiple-vulnerabilities-in-rubygems.md

@@ -0,0 +1,59 @@
+---
+layout: news_post
+title: "Multiple vulnerabilities in RubyGems"
+author: "usa"
+translator:
+date: 2017-08-29 12:00:00 +0000
+tags: security
+lang: en
+---
+
+There are multiple vulnerabilities in RubyGems bundled by Ruby.
+It is [reported at the official blog of RubyGems](http://blog.rubygems.org/2017/08/27/2.6.13-released.html).
+
+## Details
+
+The following vulnerabilities have been reported.
+
+* a DNS request hijacking vulnerability
+* an ANSI escape sequence vulnerability
+* a DoS vulernerability in the query command
+* a vulnerability in the gem installer that allowed a malicious gem to overwrite arbitrary files
+
+It is strongly recommended for Ruby users to take one of the following workarounds as soon as possible.
+
+## Affected Versions
+
+* Ruby 2.2 series: 2.2.7 and earlier 
+* Ruby 2.3 series: 2.3.4 and earlier 
+* Ruby 2.4 series: 2.4.1 and earlier 
+* prior to trunk revision 59672
+
+## Workarounds
+
+At this moment, there are no Ruby releases including the fix for RubyGems.
+But you can upgrade RubyGems to the latest version.
+RubyGems 2.6.13 or later includes the fix for the vulnerabilities.
+
+
+```
+gem update --system
+```
+
+If you can't upgrade RubyGems, you can apply the following patches as a workaround.
+
+* [for Ruby 2.2.7](https://bugs.ruby-lang.org/attachments/download/6690/rubygems-2613-ruby22.patch)
+* [for Ruby 2.3.4](https://bugs.ruby-lang.org/attachments/download/6691/rubygems-2613-ruby23.patch)
+* for Ruby 2.4.1: need 2 patches.  Apply sequentially as follows:
+  1. [RubyGems 2.6.11 to 2.6.12](https://bugs.ruby-lang.org/attachments/download/6692/rubygems-2612-ruby24.patch)
+  2. [RubyGems 2.6.12 to 2.6.13](https://bugs.ruby-lang.org/attachments/download/6693/rubygems-2613-ruby24.patch)
+
+About the trunk, update to the latest revision.
+
+## Credits
+
+This report is based on [the official blog of RubyGems](http://blog.rubygems.org/2017/08/27/2.6.13-released.html).
+
+## History
+
+* Originally published at 2017-08-29 12:00:00 UTC

ja/news/_posts/2017-08-29-multiple-vulnerabilities-in-rubygems.md

@@ -0,0 +1,57 @@
+---
+layout: news_post
+title: "RubyGems の複数の脆弱性について"
+author: "usa"
+translator:
+date: 2017-08-29 12:00:00 +0000
+tags: security
+lang: ja
+---
+
+Ruby の標準添付ライブラリである RubyGems に、複数の脆弱性が発見されました。
+RubyGems の公式ブログにて[報告されています](http://blog.rubygems.org/2017/08/27/2.6.13-released.html)。
+
+## 詳細
+
+以下の脆弱性が報告されています。
+
+* a DNS request hijacking vulnerability
+* an ANSI escape sequence vulnerability
+* a DOS vulernerability in the query command
+* a vulnerability in the gem installer that allowed a malicious gem to overwrite arbitrary files
+
+Ruby ユーザには、以下に示すいずれかの対策を速やかに行うことを強く推奨します。
+
+## 影響を受けるバージョン
+
+* Ruby 2.2.7 以前の全ての Ruby 2.2 系列
+* Ruby 2.3.4 以前の全ての Ruby 2.3 系列
+* Ruby 2.4.1 以前の全ての Ruby 2.4 系列
+* revision 59672 より前の開発版
+
+## 回避策
+
+現時点では、本件に対応した Ruby はリリースされていませんが、以下のコマンドを実行することにより、RubyGems を最新版(2.6.13 以降)に更新することによって、各脆弱性が修正されます。
+
+```
+gem update --system
+```
+
+もし何らかの事情で RubyGems 全体を更新できない場合は、脆弱性対応のみを行うパッチが公開されています。
+各バージョン用に用意されていますので、以下より入手・適用してください。
+
+* [Ruby 2.2.7 用](https://bugs.ruby-lang.org/attachments/download/6690/rubygems-2613-ruby22.patch)
+* [Ruby 2.3.4 用](https://bugs.ruby-lang.org/attachments/download/6691/rubygems-2613-ruby23.patch)
+* Ruby 2.4.1 用: 両方のパッチを順次適用してください。
+  1. [RubyGems 2.6.11 から 2.6.12 へのパッチ](https://bugs.ruby-lang.org/attachments/download/6692/rubygems-2612-ruby24.patch)
+  2. [RubyGems 2.6.12 から 2.6.13 へのパッチ](https://bugs.ruby-lang.org/attachments/download/6693/rubygems-2613-ruby24.patch)
+
+開発版については、最新のリビジョンに更新してください。
+
+## クレジット
+
+この脆弱性情報は、[RubyGems 公式ブログ](http://blog.rubygems.org/2017/08/27/2.6.13-released.html)に基づいています。
+
+## 更新履歴
+
+* 2017-08-29 21:00:00 (JST) 初版