ニュース
スクリプト言語「Ruby」にセキュリティ更新 ~3件の脆弱性に対処【7月28日追記】
対処済みの「RubyInstaller for Windows」v3.0.2-1/2.7.4-1/2.6.8-1も公開
2021年7月8日 15:23
スクリプト言語「Ruby」のマイナーアップデートが、7月7日にリリースされた。いくつかの脆弱性が修正されており、「Ruby 3.0.2」「Ruby 2.7.4」「Ruby 2.6.8」への更新が必要だ。
今回のアップデートで対処された脆弱性は、以下の通り。
- CVE-2021-31810:「Net::FTP」におけるFTP PASV レスポンスを信頼してしまう脆弱性
- CVE-2021-32066:「Net::IMAP」におけるStartTLSストリッピングの脆弱性
- CVE-2021-31799:Ruby の標準添付されているRDocにおけるコマンドインジェクション
なお、「Ruby 2.5」系統はすでにサポートを終了しており、アップデートは提供されない。
また、「Ruby 2.6」系統は通常のメンテナンスフェイズは終了し、1年間のセキュリティメンテナンスフェイズに移行している。本来であれば脆弱性の修正以外は行われないが、今回に限ってリグレッションやビルド時の問題への対処が含まれているという。
とはいえ、「Ruby 2.6」系統のサポートは2022年3月末を目処に打ち切られる見込み。できるだけ早い「Ruby 3.0」系統への移行をお勧めする。
「Ruby」は、まつもとゆきひろ(Matz)氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されている。「Ruby 3.0.2」に対応したバージョンはまだリリースされていないが、間もなく公開されるものと思われる。
[2021年7月28日編集部追記] 7月7日付で上記のセキュリティ問題に対処した「RubyInstaller for Windows」v3.0.2-1/2.7.4-1/2.6.8-1が、公開された。セキュリティ問題の対処のほか、「Ruby」で260文字を超えるパスを扱えるようになっている。