Tech Racho エンジニアの「?」を「!」に。
  • 開発

週刊Railsウォッチ(20160913)MySQLの脆弱性ほか

※ 「Ruby/Rails界隈ウォッチ」は2016年12月より週刊Railsウォッチにタイトルを改めました。

こんにちは、hachi8833です。

懐手しながら散歩する趣きで、RailsやRuby界隈のニュースをピックアップしながらご紹介します。

Riding Railsニュース

2016/09/10のニュースより。

Railsコントリビュータ

Rails Contributorsにはコミット数上位のcontributorたちが掲載されています。今週の様子はRails Contributors - Date Rangeで見られます。

OpenSSLのキー長の非互換性

Ruby 2.4のOpenSSL周りの変更によってキー長の互換性が失われたという話題(#25185)。#25758で修正された模様。

Hacker News

MySQLのリモートルートコード実行/権限昇格の脆弱性

CVE-2016-6662が話題になっていますが、legalhackers.comにやばいぐらい詳しく紹介されています

気になるのは、CVE-2016-6663以外にも脆弱性があるらしいという点です。

It is worth to note that attackers could use one of the other vulnerabilities discovered
by the author of this advisory which has been assigned a CVEID of CVE-2016-6663 and is
pending disclosure. The undisclosed vulnerability makes it easy for certain attackers to
create /var/lib/mysql/my.cnf file with arbitrary contents without the FILE privilege
requirement.

MySQL <= 5.7.15 Remote Root Code Execution / Privilege Escalation (0day) (CVE-2016-6662)

CVE-2016-6662 MySQL Remote Root Code Execution / Privilege Escalationについて - Qiita」で日本語情報を読むこともできます。

Ruby Weekly

Ruby Weekly: Issues 312より。

なお、Koichi SasadaさんがRubyKaigiで発表したスライドも掲載されています。

Resumable File Uploads in Ruby

tus1

janko-m/tus-ruby-serverはアップロードを再開(resume)できるRubyサーバーですが、ここで使われているのがtus.ioというオープンソースベースのアップロード再開用プロトコルです。github.com/tusを見るとJavaScriptやObjective-CやGoなどでサーバーやクライアントが作られていて、結構賑わっているようです。「HTTPベース」「本番で使える」「オープンソース」「コンパクトな仕様」「拡張しやすい」「コミュニティによる運営」を謳っています。

Good Module, Bad Module

「よいモジュール悪いモジュール」という昭和の女性詩人のようなタイトル。モジュールを名前空間化する場合であっても、FooBarFighters::Fileのような一般的過ぎる名前はなるべく避けよう、といったアドバイス。

Github.com/trending

Starの増加の多いもののうち、新し目のものを見てみました。

  • jellymann / mittsu: Rubyの3Dグラフィックライブラリです。日本語の「三つ」がいかにも。
  • testdouble / suture: 先日のRubyKaigi 2016でも評判になった、リファクタリング支援ツールです。sutureは外科手術につきものの「縫い目、縫合用の糸」。

今週は以上です。


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。