time gemのセキュリティ修正がリリースされました

Rubyのtime gemのセキュリティ修正がリリースされました。

• お知らせ: CVE-2023-28756: ReDoS vulnerability in Time

CVE-2023-28756: ReDoS vulnerability in Time https://t.co/qdHkUtRBxo

— Ruby Programming Language (@rubylangorg) March 30, 2023

• コミット差分（time gem v0.2.2）
  • Comparing v0.2.1…v0.2.2 · ruby/time
• コミット差分（time gem v0.1.1）
  • Comparing v0.1.0…v0.1.1 · ruby/time
• コミット差分（Ruby 2.7.8: セキュリティ以外の変更も含まれています）
  • Comparing v2_7_7…v2_7_8 · ruby/ruby

対応方法

詳しくは上記の公式情報をご覧ください。

公式で推奨されている対応方法は、time gemを0.2.2以上にアップデートすることです。

• gem update timeを実行することでアップデートできます
• time gemをbundlerでインストールしている場合は、Gemfileにadd gem "time", ">= 0.2.2"を追加してbundle installを実行します

Ruby 3.1/3.2/3.0の場合

time gemを0.2.2にアップデートします。

Ruby 3.0でbundled gemとの互換性を確保したい場合

time gemを0.1.1にアップデートすることでも対応可能です。

Ruby 2.7の場合

time gemはRuby 3.0以降でしか動作しないため、Ruby 2.7を使っている場合は、Ruby 2.7を最新の2.7.8にアップデートする必要があります↓。

参考: Ruby 2.7.8 Released

なお、Ruby 2.7のEOLは本日2023/03/31いっぱいが予定されています（現時点では確定ではありません）。

参考: Ruby Maintenance Branches

修正の概要

以下の脆弱性が修正されました。

CVE-2023-28756: ReDoS vulnerability in Time

• CVE – CVE-2023-28756（現時点ではエントリのみです）

• 影響を受けるバージョン

  • Ruby 2.7.7以下
  • time gem 0.1.0
  • time gem 0.2.1

関連記事

uri gemのセキュリティ修正がリリースされました

The post time gemのセキュリティ修正がリリースされました first appeared on TechRacho.