Translation news in 20240321 and 20240423 (#3225)

Translation (zh_tw) of posts:

CVE-2024-27280: Buffer overread vulnerability in StringIO
CVE-2024-27281: RCE vulnerability with .rdoc_options in RDoc
CVE-2024-27282: Arbitrary memory address read vulnerability with Regex search
Ruby 3.0.7 Released
Ruby 3.1.5 Released
Ruby 3.2.4 Released
Ruby 3.3.1 Released

Author: timfanda35

zh_tw/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md

@@ -0,0 +1,46 @@
+---
+layout: news_post
+title: "CVE-2024-27280: StringIO 中的緩衝區 overread 漏洞"
+author: "hsbt"
+translator: "Bear Su"
+date: 2024-03-21 4:00:00 +0000
+tags: security
+lang: zh_tw
+---
+
+我們發布了 StringIO gem 版本 3.0.1.1 和 3.0.1.2，對緩衝區 overread 漏洞進行了安全性修復。
+該漏洞的 CVE 編號為 [CVE-2024-27280](https://www.cve.org/CVERecord?id=CVE-2024-27280)。
+
+## 風險細節
+
+在 StringIO 3.0.1 中發現了一個問題，Ruby 影響版本為 3.0.x 至 3.0.6 和 3.1.x 至 3.1.4。
+
+StringIO 中的 `ungetbyte` 和 `ungetc` 方法能夠讀取超過字串結尾的內容，如果繼續呼叫 `StringIO.gets` 會回傳記憶體中的資料。
+
+此漏洞不影響 StringIO 3.0.3 及更新版本，和 Ruby 3.2.x 及更新版本。
+
+## 建議行動
+
+我們建議升級 StringIO gem 至 3.0.3 或更新版本。為了確保相容於 Ruby 舊版本，您可以按照以下方式進行升級：
+
+* Ruby 3.0: 升級至 `stringio` 3.0.1.1
+* Ruby 3.1: 升級至 `stringio` 3.0.1.2
+
+注意: StringIO 3.0.1.2 除了漏洞修復之外，也包含了錯誤修復 [[Bug #19389]](https://github.com/ruby/ruby/commit/1d24a931c458c93463da1d5885f33edef3677cc2)。
+
+您可以使用 `gem update stringio` 進行更新。如果您使用 bundler，請將 `gem "stringio", ">= 3.0.1.2"` 加入到您的 `Gemfile` 中。
+
+## 受影響版本
+
+* Ruby 3.0.6 及更早版本
+* Ruby 3.1.4 及更早版本
+* StringIO gem 3.0.1 及更早版本
+
+## 致謝
+
+感謝 [david_h1](https://hackerone.com/david_h1?type=user) 發現此問題。
+
+## 歷史
+
+* 修復 StringIO 影響版本 (3.0.2 -> 3.0.1) 於 2024-04-11 12:50:00 (UTC)
+* 最初發佈於 2024-03-21 4:00:00 (UTC)

zh_tw/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md

@@ -0,0 +1,47 @@
+---
+layout: news_post
+title: "CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞"
+author: "hsbt"
+translator: "Bear Su"
+date: 2024-03-21 4:00:00 +0000
+tags: security
+lang: zh_tw
+---
+
+我們發布了 RDoc gem 版本 6.3.4.1、6.4.1.1、6.5.1.1 和 6.6.3.1 對 RCE 漏洞進行了安全性修復。
+該漏洞的 CVE 編號為 [CVE-2024-27281](https://www.cve.org/CVERecord?id=CVE-2024-27281)。
+
+## 風險細節
+
+在 RDoc 6.3.3 至 6.6.2 中發現了一個問題，Ruby 影響版本為 3.x 至 3.3.0。
+
+當解析 YAML 格式的 `.rdoc_options` 檔案時 (用於 RDoc 設定)，由於沒有限制恢復的類別，可能導致執行物件注入與遠端程式碼進行攻擊。
+當載入文件快取時，如果有特製的快取存在，則可能執行物件注入與遠端程式碼進行攻擊。
+
+## 建議行動
+
+我們建議升級 RDoc gem 至 6.6.3.1 或更新版本。為了確保相容於 Ruby 舊版本，您可以按照以下方式進行升級：
+
+* Ruby 3.0: 升級至 `rdoc` 6.3.4.1
+* Ruby 3.1: 升級至 `rdoc` 6.4.1.1
+* Ruby 3.2: 升級至 `rdoc` 6.5.1.1
+
+您可以使用 `gem update rdoc` 進行更新。如果您使用 bundler，請將 `gem "rdoc", ">= 6.6.3.1"` 加入到您的 `Gemfile` 中。
+
+注意: 6.3.4、6.4.1、6.5.1 和 6.6.3 有不正確的修復。我們建議升級至 6.3.4.1、6.4.1.1、6.5.1.1 和 6.6.3.1。
+
+## 受影響版本
+
+* Ruby 3.0.6 及更早版本
+* Ruby 3.1.4 及更早版本
+* Ruby 3.2.3 及更早版本
+* Ruby 3.3.0
+* RDoc gem 6.3.3 及更早版本，6.4.0 至 6.6.2 中未修補版本 (6.3.4, 6.4.1, 6.5.1)
+
+## 致謝
+
+感謝 [ooooooo_q](https://hackerone.com/ooooooo_q?type=user) 發現此問題。
+
+## 歷史
+
+* 最初發佈於 2024-03-21 4:00:00 (UTC)

zh_tw/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md

@@ -0,0 +1,42 @@
+---
+layout: news_post
+title: "CVE-2024-27282: Regex 搜尋的任意記憶體位址讀取漏洞"
+author: "hsbt"
+translator: "Bear Su"
+date: 2024-04-23 10:00:00 +0000
+tags: security
+lang: zh_tw
+---
+
+我們發布了 Ruby 版本 3.0.7、3.1.5、3.2.4 和 3.3.1，對 Regex 搜尋中的任意記憶體位址讀取漏洞進行了安全性修復。
+該漏洞的 CVE 編號為 [CVE-2024-27282](https://www.cve.org/CVERecord?id=CVE-2024-27282)。
+
+## 風險細節
+
+在 Ruby 3.x 至 3.3.0 中發現了一個問題。
+
+如果將攻擊者提供的資料給 Ruby 的 Regex 編譯器，可能會被提取出相對於文字開頭的任意堆疊中的資料，包括指標與機敏字串。
+
+## 建議行動
+
+我們建議升級 Ruby 至 3.3.1 或更新版本。為了確保相容於 Ruby 舊版本，您可以按照以下方式進行升級：
+
+* Ruby 3.0: 升級至 3.0.7
+* Ruby 3.1: 升級至 3.1.5
+* Ruby 3.2: 升級至 3.2.4
+* Ruby 3.3: 升級至 3.3.1
+
+## 受影響版本
+
+* Ruby 3.0.6 及更早版本
+* Ruby 3.1.4 及更早版本
+* Ruby 3.2.3 及更早版本
+* Ruby 3.3.0
+
+## 致謝
+
+感謝 [sp2ip](https://hackerone.com/sp2ip?type=user) 發現此問題。
+
+## 歷史
+
+* 最初發佈於 2024-04-23 10:00:00 (UTC)

zh_tw/news/_posts/2024-04-23-ruby-3-0-7-released.md

@@ -0,0 +1,52 @@
+---
+layout: news_post
+title: "Ruby 3.0.7 發布"
+author: "hsbt"
+translator: "Bear Su"
+date: 2024-04-23 10:00:00 +0000
+lang: zh_tw
+---
+
+Ruby 3.0.7 已經發布了。
+
+本次發布版本包含安全性修正。
+細節請參考下列內容。
+
+* [CVE-2024-27282: Regex 搜尋的任意記憶體位址讀取漏洞]({%link zh_tw/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %})
+* [CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞](https://www.ruby-lang.org/zh_tw/news/2024/03/21/rce-rdoc-cve-2024-27281/)
+* [CVE-2024-27280: StringIO 中的緩衝區 overread 漏洞](https://www.ruby-lang.org/zh_tw/news/2024/03/21/buffer-overread-cve-2024-27280/)
+
+詳細的變動請參閱 [GitHub 發布](https://github.com/ruby/ruby/releases/tag/v3_0_7)。
+
+隨著這個版本的發佈，Ruby 3.0 進入了終了階段(EOL)。這意味著此為 Ruby 3.0 系列的最後版本。
+之後即使發現安全性漏洞，我們也不會發布 Ruby 3.0.8 (除非發現有嚴重的回歸問題)。
+我們建議所有 Ruby 3.0 使用者盡快遷移至 Ruby 3.3、3.2、或是 3.1。
+
+## 下載
+
+{% assign release = site.data.releases | where: "version", "3.0.7" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 發布紀錄
+
+許多提交者、開發者和漏洞回報者幫助了此版本的發佈，在此感謝所有人的貢獻。

zh_tw/news/_posts/2024-04-23-ruby-3-1-5-released.md

@@ -0,0 +1,48 @@
+---
+layout: news_post
+title: "Ruby 3.1.5 發布"
+author: "hsbt"
+translator: "Bear Su"
+date: 2024-04-23 10:00:00 +0000
+lang: zh_tw
+---
+
+Ruby 3.1.5 已經發布了。
+
+本次發布版本包含安全性修正。
+細節請參考下列內容。
+
+* [CVE-2024-27282: Regex 搜尋的任意記憶體位址讀取漏洞]({%link zh_tw/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %})
+* [CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞](https://www.ruby-lang.org/zh_tw/news/2024/03/21/rce-rdoc-cve-2024-27281/)
+* [CVE-2024-27280: StringIO 中的緩衝區 overread 漏洞](https://www.ruby-lang.org/zh_tw/news/2024/03/21/buffer-overread-cve-2024-27280/)
+
+詳細的變動請參閱 [GitHub 發布](https://github.com/ruby/ruby/releases/tag/v3_1_5)。
+
+## 下載
+
+{% assign release = site.data.releases | where: "version", "3.1.5" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 發布紀錄
+
+許多提交者、開發者和漏洞回報者幫助了此版本的發佈，在此感謝所有人的貢獻。

zh_tw/news/_posts/2024-04-23-ruby-3-2-4-released.md

@@ -0,0 +1,48 @@
+---
+layout: news_post
+title: "Ruby 3.2.4 發布"
+author: "nagachika"
+translator: "Bear Su"
+date: 2024-04-23 10:00:00 +0000
+lang: zh_tw
+---
+
+Ruby 3.2.4 已經發布了。
+
+本次發布版本包含安全性修正。
+細節請參考下列內容。
+
+* [CVE-2024-27282: Regex 搜尋的任意記憶體位址讀取漏洞]({%link zh_tw/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %})
+* [CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞](https://www.ruby-lang.org/zh_tw/news/2024/03/21/rce-rdoc-cve-2024-27281/)
+* [CVE-2024-27280: StringIO 中的緩衝區 overread 漏洞](https://www.ruby-lang.org/zh_tw/news/2024/03/21/buffer-overread-cve-2024-27280/)
+
+詳細的變動請參閱 [GitHub 發布](https://github.com/ruby/ruby/releases/tag/v3_2_4)。
+
+## 下載
+
+{% assign release = site.data.releases | where: "version", "3.2.4" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 發布紀錄
+
+許多提交者、開發者和漏洞回報者幫助了此版本的發佈，在此感謝所有人的貢獻。

zh_tw/news/_posts/2024-04-23-ruby-3-3-1-released.md

@@ -0,0 +1,48 @@
+---
+layout: news_post
+title: "Ruby 3.3.1 發布"
+author: "naruse"
+translator: "Bear Su"
+date: 2024-04-23 10:00:00 +0000
+lang: zh_tw
+---
+
+Ruby 3.3.1 已經發布了。
+
+本次發布版本包含安全性修正。
+細節請參考下列內容。
+
+* [CVE-2024-27282: Regex 搜尋的任意記憶體位址讀取漏洞]({%link zh_tw/news/_posts/2024-04-23-arbitrary-memory-address-read-regexp-cve-2024-27282.md %})
+* [CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞](https://www.ruby-lang.org/zh_tw/news/2024/03/21/rce-rdoc-cve-2024-27281/)
+* [CVE-2024-27280: StringIO 中的緩衝區 overread 漏洞](https://www.ruby-lang.org/zh_tw/news/2024/03/21/buffer-overread-cve-2024-27280/)
+
+詳細的變動請參閱 [GitHub 發布](https://github.com/ruby/ruby/releases/tag/v3_3_1)。
+
+## 下載
+
+{% assign release = site.data.releases | where: "version", "3.3.1" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 發布紀錄
+
+許多提交者、開發者和漏洞回報者幫助了此版本的發佈，在此感謝所有人的貢獻。