ニュース
「Ruby 3.0.3」「Ruby 2.7.5」「Ruby 2.6.9」が公開【11月29日追記】
3件の脆弱性に対処したセキュリティ更新。対応する「RubyInstaller for Windows」も公開
2021年11月25日 12:00
スクリプト言語「Ruby」のマイナーアップデートが、11月24日にリリースされた。いくつかの脆弱性が修正されており、「Ruby 3.0.3」「Ruby 2.7.5」「Ruby 2.6.9」への更新が必要だ。
今回のアップデートで対処された脆弱性は、以下の通り。
- CVE-2021-41817:「date」ジェムにおける正規表現サービス拒否の脆弱性(ReDoS)
- CVE-2021-41816:「CGI.escape_html」におけるバッファーオーバーラン
- CVE-2021-41819:「CGI::Cookie.parse」におけるCookieプリフェックスの偽装
なお、「CVE-2021-41817」は「Ruby 2.6」に影響しない。
「Ruby」は、まつもとゆきひろ(Matz)氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されている。「Ruby 3.0.3」に対応したバージョンはまだリリースされていないが、間もなく公開されるものと思われる。
[2021年11月29日編集部追記] 11月27日付で「Ruby 3.0.3」に対応した「RubyInstaller for Windows」v3.0.3-1が公開された。「Ruby 2.7.5」「Ruby 2.6.9」に対応したv2.7.5-1/2.6.9-1も公開されている。