ニュース

「Ruby 3」系統の正規表現コンパイラーに情報漏えいの脆弱性、修正版がリリース

v3.0.7、v3.1.5、v3.2.4、v3.3.1への更新を

「Ruby 3.1.3」が正式リリース

 スクリプト言語「Ruby」の開発チームは4月23日、「Ruby」の正規表現(Regex)検索に任意のメモリアドレスを読み取られる脆弱性(CVE-2024-27282)があることを明らかにした。修正版がリリースされている。

 本脆弱性は、細工が施されたデータが「Ruby」の正規表現コンパイラーに渡されると、テキストの開始位置から相対的な任意のヒープデータを抽出されるおそれがあるというもの。ポインターや機密文字列などを盗み取られる可能性がある。影響するバージョンは以下の通り。

  • Ruby 3.0.6およびそれ以前のバージョン
  • Ruby 3.1.4およびそれ以前のバージョン
  • Ruby 3.2.3およびそれ以前のバージョン
  • Ruby 3.3.0

 開発チームは、以下のバージョンへの更新を推奨している。

  • Ruby 3.0.7
  • Ruby 3.1.5
  • Ruby 3.2.4
  • Ruby 3.3.1

 「Ruby」は、まつもとゆきひろ(Matz)氏によって1993年に開発が始められたスクリプト言語。オープンソースで開発が続けられており、Webアプリケーションをはじめ、さまざまな用途・プラットフォームで採用されている。バイナリとソースコードは現在、公式のWebサイトから無償でダウンロード可能。Windows環境では「RubyInstaller for Windows」の利用が推奨されており、間もなく最新版がリリースされる見込みだ。