ニュース
スクリプト言語「Ruby」に4件の脆弱性 ~v2.4.8/v2.5.7/v2.6.5が公開(10月3日追記)
2日付で「Ruby」v2.4.8をインストールできない問題を修正したv2.4.9が公開
2019年10月2日 13:59
オブジェクト指向スクリプト言語「Ruby」v2.4.8/v2.6.5が、10月1日に公開された。現在、公式のWebサイトからダウンロード可能。Windows環境では「RubyInstaller for Windows」などの利用が推奨されている(執筆時現在、v2.6.5は未公開)。
今回のリリースは、脆弱性を修正したセキュリティアップデート。CVE番号ベースで以下の4件の欠陥が解決されている。
- CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性
- CVE-2019-16254: WEBrickにおけるHTTPレスポンス偽装の脆弱性について(追加の修正)
- CVE-2019-15845: File.fnmatchのNUL文字挿入脆弱性
- CVE-2019-16201: WEBrickのDigest認証に関する正規表現Denial of Serviceの脆弱性
なお、「Ruby 2.4」系列は現在、重大なセキュリティ上の問題だけを修正するセキュリティメンテナンスフェイズにある。2020年3月末を目途にサポートが打ち切られるので、新しいバージョンへの移行を早めに検討したい。
10月3日編集部追記: 「Ruby 2.5」系列の最新版v2.5.7も公開されており、v2.4.8/v2.6.5と同じ脆弱性が修正されている。そのほか、10月2日付で「Ruby」v2.6.5/v2.5.7/v2.4.9に対応した「RubyInstaller for Windows」の最新版が公開された。
10月2日20:30編集部追記: 10月2日付で、非rootユーザーが「Ruby」v2.4.8のtarballからインストールできない問題を修正した「Ruby」v2.4.9が公開されている。