ニュース
「Ruby」のuri.gemに正規表現サービス拒否(ReDoS)の脆弱性 ~修正版のv3.2.3が公開
2024年1月19日 14:17
スクリプト言語「Ruby」の最新版v3.2.3が、1月18日に公開された。今回のリリースでは、uri.gemにおける正規表現サービス拒否(ReDoS)の脆弱性(CVE-2023-36617)が修正されている。
uri.gem 0.12.1には、特定の文字を含む無効なURLをURIパーサーが誤って取り扱ってしまう問題があり、文字列をURIオブジェクトにパースする際に実行時間が増加してしまい正規表現サービス拒否攻撃を受ける可能性があった。この問題はuri.gem 0.12.2/0.10.3にアップデートすることで修正される。
「Ruby」v3.2.3には修正済みのuri.gemが同梱されているが、「Ruby」v3.0ではuri.gem 0.10.3、「Ruby」v3.1ではuri.gem 0.12.2への「gem update uri」コマンドなどを利用した手動アップデートが必要。
「Ruby」は、まつもとゆきひろ(Matz)氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されている。
「Ruby」v3.2.3に対応した「RubyInstaller for Windows」はまだリリースされていないが、間もなく公開されるだろう。