スクリプト言語「Ruby」にセキュリティ更新 ～「Ruby 2.5」系統は終了

「Ruby 3.0.1」が正式リリース

　スクリプト言語「Ruby」のマイナーアップデートが、4月5日にリリースされた。いくつかの脆弱性が修正されており、「Ruby 3.0.1」「Ruby 2.7.3」「Ruby 2.6.7」「Ruby 2.5.9」への更新が必要だ。

　「Ruby 3.0.1」「Ruby 2.7.3」で修正された脆弱性は、以下の通り。

• XML round-trip vulnerability in REXML（CVE-2021-28965）：「REXML」には細工されたXMLドキュメントをパース・シリアライズするとソースと異なる構造を持つ誤ったXMLドキュメントが生成されることがある。gemをv3.2.5以降へ更新する必要がある
• Path traversal in Tempfile on Windows（CVE-2021-28966）：Windows版「Ruby」にバンドルされている「tmpdir」ライブラリにパストラバーバーサルの問題。意図しないファイルを作成できてしまう可能性がある。以前に修正された問題（CVE-2018-6914）と内容は同じだが、Windows版では不完全だった

　「Ruby 2.6.7」「Ruby 2.5.9」では、「REXML」の問題（CVE-2021-28965）に加え、以下の問題が対処されている。

• Potential HTTP Request Smuggling Vulnerability in WEBrick（CVE-2020-25613）：「WEBrick」におけるHTTPリクエストスマグリングの問題。v1.6.1移行へのgemの更新が必要

　なお、「Ruby 2.5」系統はこのリリースをもってEOLとなる。もし新たな脆弱性が発見されても修正版がリリースされることはないため、すみやかに後継バージョンへ移行する必要がある。

　また、「Ruby 2.6」系統は通常のメンテナンスフェイズは終了し、1年間のセキュリティメンテナンスフェイズに移行した。セキュリティに影響のない不具合は修正されないため、できるだけ早く「Ruby 2.7」「Ruby 3.0」への移行をお勧めする。

　「Ruby」は、まつもとゆきひろ（Matz）氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されている。「Ruby 3.0.1」に対応したバージョンはまだリリースされていないが、間もなく公開されるものと思われる。