週刊Railsウォッチ(20160913)MySQLの脆弱性ほか

※ 「Ruby/Rails界隈ウォッチ」は2016年12月より週刊Railsウォッチにタイトルを改めました。

こんにちは、hachi8833です。

懐手しながら散歩する趣きで、RailsやRuby界隈のニュースをピックアップしながらご紹介します。

Riding Railsニュース

2016/09/10のニュースより。

Railsコントリビュータ

Rails Contributorsにはコミット数上位のcontributorたちが掲載されています。今週の様子はRails Contributors – Date Rangeで見られます。

OpenSSLのキー長の非互換性

Ruby 2.4のOpenSSL周りの変更によってキー長の互換性が失われたという話題(#25185)。#25758で修正された模様。

Hacker News

MySQLのリモートルートコード実行/権限昇格の脆弱性

CVE-2016-6662が話題になっていますが、legalhackers.comにやばいぐらい詳しく紹介されています

気になるのは、CVE-2016-6663以外にも脆弱性があるらしいという点です。

It is worth to note that attackers could use one of the other vulnerabilities discovered
by the author of this advisory which has been assigned a CVEID of CVE-2016-6663 and is
pending disclosure. The undisclosed vulnerability makes it easy for certain attackers to
create /var/lib/mysql/my.cnf file with arbitrary contents without the FILE privilege
requirement.

MySQL <= 5.7.15 Remote Root Code Execution / Privilege Escalation (0day) (CVE-2016-6662)

CVE-2016-6662 MySQL Remote Root Code Execution / Privilege Escalationについて – Qiita」で日本語情報を読むこともできます。

Ruby Weekly

Ruby Weekly: Issues 312より。

なお、Koichi SasadaさんがRubyKaigiで発表したスライドも掲載されています。

Resumable File Uploads in Ruby

tus1

janko-m/tus-ruby-serverはアップロードを再開(resume)できるRubyサーバーですが、ここで使われているのがtus.ioというオープンソースベースのアップロード再開用プロトコルです。github.com/tusを見るとJavaScriptやObjective-CやGoなどでサーバーやクライアントが作られていて、結構賑わっているようです。「HTTPベース」「本番で使える」「オープンソース」「コンパクトな仕様」「拡張しやすい」「コミュニティによる運営」を謳っています。

Good Module, Bad Module

「よいモジュール悪いモジュール」という昭和の女性詩人のようなタイトル。モジュールを名前空間化する場合であっても、FooBarFighters::Fileのような一般的過ぎる名前はなるべく避けよう、といったアドバイス。

Github.com/trending

Starの増加の多いもののうち、新し目のものを見てみました。

  • jellymann / mittsu: Rubyの3Dグラフィックライブラリです。日本語の「三つ」がいかにも。
  • testdouble / suture: 先日のRubyKaigi 2016でも評判になった、リファクタリング支援ツールです。sutureは外科手術につきものの「縫い目、縫合用の糸」。

今週は以上です。

Ruby on RailsによるWEBシステム開発、Android/iPhoneアプリ開発、電子書籍配信のことならお任せください この記事を書いた人と働こう! Ruby on Rails の開発なら実績豊富なBPS

この記事の著者

hachi8833

Twitter: @hachi8833、GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。 これまでにRuby on Rails チュートリアル第2版の半分ほど、Railsガイドの初期翻訳ではほぼすべてを翻訳。その後も折に触れてそれぞれ一部を翻訳。 かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。 実は最近Go言語が好き。 仕事に関係ないすっとこブログ「あけてくれ」は2000年頃から多少の中断をはさんで継続、現在はnote.muに移転。

hachi8833の書いた記事

週刊Railsウォッチ

インフラ

BigBinary記事より

ActiveSupport探訪シリーズ