「Ruby 3.0.3」「Ruby 2.7.5」「Ruby 2.6.9」が公開【11月29日追記】

「Ruby 3.0.3」が正式リリース

　スクリプト言語「Ruby」のマイナーアップデートが、11月24日にリリースされた。いくつかの脆弱性が修正されており、「Ruby 3.0.3」「Ruby 2.7.5」「Ruby 2.6.9」への更新が必要だ。

　今回のアップデートで対処された脆弱性は、以下の通り。

• CVE-2021-41817：「date」ジェムにおける正規表現サービス拒否の脆弱性（ReDoS）
• CVE-2021-41816：「CGI.escape_html」におけるバッファーオーバーラン
• CVE-2021-41819：「CGI::Cookie.parse」におけるCookieプリフェックスの偽装

　なお、「CVE-2021-41817」は「Ruby 2.6」に影響しない。

　「Ruby」は、まつもとゆきひろ（Matz）氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されている。「Ruby 3.0.3」に対応したバージョンはまだリリースされていないが、間もなく公開されるものと思われる。

［2021年11月29日編集部追記］ 11月27日付で「Ruby 3.0.3」に対応した「RubyInstaller for Windows」v3.0.3-1が公開された。「Ruby 2.7.5」「Ruby 2.6.9」に対応したv2.7.5-1/2.6.9-1も公開されている。