Quantcast
Channel: hachi8833の記事一覧|TechRacho by BPS株式会社
Viewing all articles
Browse latest Browse all 1759

Ruby 3.0.3/2.7.5/2.6.9セキュリティ修正がリリースされました

$
0
0

Ruby 3.0.3/2.7.5/2.6.9セキュリティ修正がリリースされました。

リリースノート

詳しくは上記リリース情報をご覧ください。

注釈

Ruby 2.6.x系は現在セキュリティメンテナンスフェーズにつき、重大なセキュリティ問題の修正のみが行われます。詳しくはRuby 2.6.9 リリースノートをご覧ください。

🔗 修正の概要

Ruby本体に含まれる「default gem」↓の脆弱性が3件修正されました。

参考: standard librariesとdefault gemsとbundled gemsの違い - esm アジャイル事業部 開発者ブログ

基本的には当該gemを更新するかRubyバージョンを更新することで修正可能です。

CVE-2021-41817: Regular Expression Denial of Service Vulnerability of Date Parsing Methods

CVE-2021-41817はdate gemのDate.parseなどのメソッド内部で使われている正規表現の脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。

ruby/date - GitHub

  • 影響を受けるdate gemバージョン
    • date gem 3.2.0以前
    • date gem 3.1.1以前(Ruby 3.0.3以前のRuby 3.0系)
    • date gem 3.0.1以前(Ruby 2.7.5以前のRuby 2.7系)
    • date gem 2.0.0以前(Ruby 2.6.9以前のRuby 2.6系)
  • gemが修正されたRubyバージョン: 3.0.3/2.7.5/2.6.9
  • 修正されたdate gemバージョン
    • date gem 3.2.1以降
      • 本記事公開時点ではdate gem 3.2.2です。
    • date gem 3.1.2以降
      • 本記事公開時点ではdate gem 3.1.3です。
    • date gem 3.0.2以降
      • 本記事公開時点ではdate gem 3.0.3です。
    • date gem 2.0.1以降
      • 本記事公開時点ではdate gem 2.0.2です。

CVE-2021-41816: Buffer Overrun in CGI.escape_html

CVE-2021-41816はcgi gemのCGI.escape_htmlメソッドで見つかった正規表現の脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。

ruby/cgi - GitHub

  • 影響を受けるRubyバージョン: Ruby 2.7以降
  • 影響を受けるcgi gemバージョン
    • cgi gem 0.3.0以前
    • cgi gem 0.2.0以前(Ruby 3.0.3以前のRuby 3.0系)
    • cgi gem 0.1.0以前(Ruby 2.7.5以前のRuby 2.7系)
  • gemが修正されたRubyバージョン: 3.0.3/2.7.5
  • 修正されたcgi gemバージョン
    • cgi gem 0.3.1以降
    • cgi gem 0.2.1以降
    • cgi gem 0.1.1以降

CVE-2021-41819: Cookie Prefix Spoofing in CGI::Cookie.parse

CVE-2021-41819はcgi gemのCGI::Cookie.parseメソッドで見つかった脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。

ruby/cgi - GitHub

  • 影響を受けるRubyバージョン: Ruby 3.0、Ruby 2.7、Ruby 2.6.8以前
    • ただしRuby 2.6.8以前はgem update cgiでは修正できません。Ruby を2.6.9以降にアップデートする必要があります。
  • 影響を受けるcgi gemバージョン
    • cgi gem 0.3.0以前
    • cgi gem 0.2.0以前(Ruby 3.0.3以前のRuby 3.0系)
    • cgi gem 0.1.0以前(Ruby 2.7.5以前のRuby 2.7系)
  • gemが修正されたRubyバージョン: 3.0.3/2.7.5/2.6.9
  • 修正されたcgi gemバージョン
    • cgi gem 0.3.1以降
    • cgi gem 0.2.1以降
    • cgi gem 0.1.1以降

参考: ruby-buildとDocker Hub

rbenvで使われるruby-buildでは、既にRuby 3.0.3/2.7.5/2.6.9が利用可能になっています。

rbenv/ruby-build - GitHub

Docker Hubでも各種ディストリビューション向けのRuby 3.0.3/2.7.5/2.6.9が利用可能になっています。

関連記事

Ruby 3.0.2/2.7.4/2.6.8セキュリティ修正がリリースされました

The post Ruby 3.0.3/2.7.5/2.6.9セキュリティ修正がリリースされました first appeared on TechRacho.


Viewing all articles
Browse latest Browse all 1759

Trending Articles