ニュース

「Ruby 2.7.2」がリリース ~「WEBrick」の更新でHTTP Request Smugglingの脆弱性を解消【10月7日追記】

警告の出力で仕様の変更も。10月6日には「RubyInstaller for Windows」もバージョンアップ

「Ruby 2.7.2」が正式リリース

 スクリプト言語「Ruby」の最新版v2.7.2が、10月2日に公開された。「Ruby 2.7」シリーズの最新安定版である本バージョンでは、“deprecated(非推奨)”カテゴリーの警告がデフォルトで出力されなくなった。これは意図した非互換で、今後は警告を出力する場合、起動オプション“-w”や“-W:deprecated”を明示的に指定する必要がある。

 また、標準添付されている開発用のWebサーバー「WEBrick」がアップデートされ、“HTTP Request Smuggling”の脆弱性が解消された。無効な転送エンコードヘッダーに対して寛容すぎるため「WEBrick」と一部のHTTPプロキシサーバーの間で矛盾した解釈が行われ、意図しない動作が引き起こされる可能性がある。

 「Ruby」は現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されている。v2.7.2はまだリリースされていないが、間もなく公開されるだろう。

10月7日編集部追記: 10月6日付で、「Ruby」v2.7.2に対応する「RubyInstaller for Windows」v2.7.2-1が公開された。現在、公式サイトからダウンロードできる。