ニュース

「Ruby 3.0.3」「Ruby 2.7.5」「Ruby 2.6.9」が公開【11月29日追記】

3件の脆弱性に対処したセキュリティ更新。対応する「RubyInstaller for Windows」も公開

「Ruby 3.0.3」が正式リリース

 スクリプト言語「Ruby」のマイナーアップデートが、11月24日にリリースされた。いくつかの脆弱性が修正されており、「Ruby 3.0.3」「Ruby 2.7.5」「Ruby 2.6.9」への更新が必要だ。

 今回のアップデートで対処された脆弱性は、以下の通り。

  • CVE-2021-41817:「date」ジェムにおける正規表現サービス拒否の脆弱性(ReDoS)
  • CVE-2021-41816:「CGI.escape_html」におけるバッファーオーバーラン
  • CVE-2021-41819:「CGI::Cookie.parse」におけるCookieプリフェックスの偽装

 なお、「CVE-2021-41817」は「Ruby 2.6」に影響しない。

 「Ruby」は、まつもとゆきひろ(Matz)氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されている。「Ruby 3.0.3」に対応したバージョンはまだリリースされていないが、間もなく公開されるものと思われる。

[2021年11月29日編集部追記] 11月27日付で「Ruby 3.0.3」に対応した「RubyInstaller for Windows」v3.0.3-1が公開された。「Ruby 2.7.5」「Ruby 2.6.9」に対応したv2.7.5-1/2.6.9-1も公開されている。