「Ruby」のuri.gemに正規表現サービス拒否（ReDoS）の脆弱性 ～修正版のv3.2.3が公開

「Ruby」v3.2.3が公開

　スクリプト言語「Ruby」の最新版v3.2.3が、1月18日に公開された。今回のリリースでは、uri.gemにおける正規表現サービス拒否（ReDoS）の脆弱性（CVE-2023-36617）が修正されている。

　uri.gem 0.12.1には、特定の文字を含む無効なURLをURIパーサーが誤って取り扱ってしまう問題があり、文字列をURIオブジェクトにパースする際に実行時間が増加してしまい正規表現サービス拒否攻撃を受ける可能性があった。この問題はuri.gem 0.12.2/0.10.3にアップデートすることで修正される。

　「Ruby」v3.2.3には修正済みのuri.gemが同梱されているが、「Ruby」v3.0ではuri.gem 0.10.3、「Ruby」v3.1ではuri.gem 0.12.2への「gem update uri」コマンドなどを利用した手動アップデートが必要。

　「Ruby」は、まつもとゆきひろ（Matz）氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されている。

　「Ruby」v3.2.3に対応した「RubyInstaller for Windows」はまだリリースされていないが、間もなく公開されるだろう。