From: Hiroshi Nakamura Date: 2011-07-13T14:43:41+09:00 Subject: [ruby-dev:44096] [Ruby 1.9 - Bug #4445] ext/openssl の verify_callback が rb_protect で保護されていない Issue #4445 has been updated by Hiroshi Nakamura. 騒いでおいてすいません。 #4611 #4875 へのリンクを外しました。ちゃんとスタックを見たら、関係ありませんでした。 で、このチケットですが、Obayashiのおっしゃる通り、確かに今のコードはダメですね。他のcallback同様、事後に例外を上げられるといいんですが、verify callbackはOpenSSL側から何度も呼ばれるので、「事後」がうまく定義できません。 というわけで、1.9.4ではverify_callback内での例外は検証失敗扱いにしようと思います。(従来のようには例外は上がらない→SSLの場合は別途SSLErrorが上がる。X509Storeの場合はただの検証失敗になる) ただ、1.9.3でどうするか悩んでいます。↑の変更を入れてしまいたいところですが、どこかで例外を投げているカスタマイズされたverify_callbackを見たことがあります。この時期に非互換を入れるのも。。。というわけで、挙動は従来どおりとして、rb_jump_tagの前にdeprecation警告、とかかなあ。。。 ---------------------------------------- Bug #4445: ext/openssl の verify_callback が rb_protect で保護されていない http://redmine.ruby-lang.org/issues/4445 Author: Ippei Obayashi Status: Assigned Priority: Normal Assignee: Hiroshi Nakamura Category: ext Target version: 1.9.3 ruby -v: ruby 1.9.2p180 (2011-02-18 revision 30909) [x86_64-linux] =begin openssl では 証明書の検証に付加的な機能を付けるための callback を設定できます。これをrubyから利用できるようになっていますが rb_protect を使っていないため、openssl ライブラリ内部を飛び越えて 例外が飛ぶようになってしまう状態です。 現在ではSEGVが発生する等の問題は見つかってはいませんがメモリリークなど 起きている可能性が高いです。 とりあえず大域脱出を止めるパッチを添付します。例外を適当な場所で再送するべきかもしれませんが それはしていません。 =end -- http://redmine.ruby-lang.org