「Ruby 3」系統の正規表現コンパイラーに情報漏えいの脆弱性、修正版がリリース

「Ruby 3.1.3」が正式リリース

　スクリプト言語「Ruby」の開発チームは4月23日、「Ruby」の正規表現（Regex）検索に任意のメモリアドレスを読み取られる脆弱性（CVE-2024-27282）があることを明らかにした。修正版がリリースされている。

　本脆弱性は、細工が施されたデータが「Ruby」の正規表現コンパイラーに渡されると、テキストの開始位置から相対的な任意のヒープデータを抽出されるおそれがあるというもの。ポインターや機密文字列などを盗み取られる可能性がある。影響するバージョンは以下の通り。

• Ruby 3.0.6およびそれ以前のバージョン
• Ruby 3.1.4およびそれ以前のバージョン
• Ruby 3.2.3およびそれ以前のバージョン
• Ruby 3.3.0

　開発チームは、以下のバージョンへの更新を推奨している。

• Ruby 3.0.7
• Ruby 3.1.5
• Ruby 3.2.4
• Ruby 3.3.1

　「Ruby」は、まつもとゆきひろ（Matz）氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されており、間もなく最新版がリリースされる見込みだ。