HsbtDiary

■ psych-2.0.5 リリースまたは ruby trunk 同梱版の libyaml の修正

CVE-2014-2525 の修正を含んだ libyaml-0.1.6 がリリースされたので psych にパッチ送って、その変更内容をそのまま trunk に突っ込んだ。

• https://github.com/tenderlove/psych/pull/187
• https://bugs.ruby-lang.org/issues/9685

yaml に % エスケープを含む url として識別可能な文字列を突っ込んだ時にバッファオーバーフローを起こせるという奴らしいけど、どう書けばそんなことができるのか全くわからないというのが今ここ。

気になる人はベンダが出している libyaml のアップデートもしくは psych-2.0.5 にしてバンドルしている libyaml を使うのがよいでしょう。