Ruby 3.0.3/2.7.5/2.6.9セキュリティ修正がリリースされました。
リリースノート
詳しくは上記リリース情報をご覧ください。
修正の概要
Ruby本体に含まれる「default gem」↓の脆弱性が3件修正されました。
参考: standard librariesとdefault gemsとbundled gemsの違い - esm アジャイル事業部 開発者ブログ
基本的には当該gemを更新するかRubyバージョンを更新することで修正可能です。
CVE-2021-41817: Regular Expression Denial of Service Vulnerability of Date Parsing Methods
CVE-2021-41817はdate gemのDate.parse
などのメソッド内部で使われている正規表現の脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるdate gemバージョン
- date gem 3.2.0以前
- date gem 3.1.1以前(Ruby 3.0.3以前のRuby 3.0系)
- date gem 3.0.1以前(Ruby 2.7.5以前のRuby 2.7系)
- date gem 2.0.0以前(Ruby 2.6.9以前のRuby 2.6系)
- gemが修正されたRubyバージョン: 3.0.3/2.7.5/2.6.9
- 修正されたdate gemバージョン
- date gem 3.2.1以降
- 本記事公開時点ではdate gem 3.2.2です。
- date gem 3.1.2以降
- 本記事公開時点ではdate gem 3.1.3です。
- date gem 3.0.2以降
- 本記事公開時点ではdate gem 3.0.3です。
- date gem 2.0.1以降
- 本記事公開時点ではdate gem 2.0.2です。
- date gem 3.2.1以降
CVE-2021-41816: Buffer Overrun in CGI.escape_html
CVE-2021-41816はcgi gemのCGI.escape_html
メソッドで見つかった正規表現の脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるRubyバージョン: Ruby 2.7以降
- 影響を受けるcgi gemバージョン
- cgi gem 0.3.0以前
- cgi gem 0.2.0以前(Ruby 3.0.3以前のRuby 3.0系)
- cgi gem 0.1.0以前(Ruby 2.7.5以前のRuby 2.7系)
- gemが修正されたRubyバージョン: 3.0.3/2.7.5
- 修正されたcgi gemバージョン
- cgi gem 0.3.1以降
- cgi gem 0.2.1以降
- cgi gem 0.1.1以降
CVE-2021-41819: Cookie Prefix Spoofing in CGI::Cookie.parse
CVE-2021-41819はcgi gemのCGI::Cookie.parse
メソッドで見つかった脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるRubyバージョン: Ruby 3.0、Ruby 2.7、Ruby 2.6.8以前
- ただしRuby 2.6.8以前は
gem update cgi
では修正できません。Ruby を2.6.9以降にアップデートする必要があります。
- ただしRuby 2.6.8以前は
- 影響を受けるcgi gemバージョン
- cgi gem 0.3.0以前
- cgi gem 0.2.0以前(Ruby 3.0.3以前のRuby 3.0系)
- cgi gem 0.1.0以前(Ruby 2.7.5以前のRuby 2.7系)
- gemが修正されたRubyバージョン: 3.0.3/2.7.5/2.6.9
- 修正されたcgi gemバージョン
- cgi gem 0.3.1以降
- cgi gem 0.2.1以降
- cgi gem 0.1.1以降
参考: ruby-buildとDocker Hub
rbenvで使われるruby-buildでは、既にRuby 3.0.3/2.7.5/2.6.9が利用可能になっています。
Docker Hubでも各種ディストリビューション向けのRuby 3.0.3/2.7.5/2.6.9が利用可能になっています。
- Docker Hub: ruby
関連記事
The post Ruby 3.0.3/2.7.5/2.6.9セキュリティ修正がリリースされました first appeared on TechRacho.
注釈
Ruby 2.6.x系は現在セキュリティメンテナンスフェーズにつき、重大なセキュリティ問題の修正のみが行われます。詳しくはRuby 2.6.9 リリースノートをご覧ください。