rdoc gemとstringio gemのセキュリティ修正がリリースされました。
We disclosed two CVEs for the default gems today.
* https://t.co/do5D0xqdch
* https://t.co/NLcUmoRgrYWe recommend upgrading them for keep your code as safety.
— Ruby Programming Language (@rubylangorg) March 21, 2024
![🔗]()
rdoc gemの修正
詳しくは上記リリース情報をご覧ください。
rdocはdefault gemに分類されます(参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ)。
![🔗]()
影響を受けるRubyバージョンとgemバージョン
- Ruby 3.0.6以下
- Ruby 3.1.4以下
- Ruby 3.2.3以下
- Ruby 3.3.0
- rdoc gem
- 6.3.3以下
- 6.4.0〜6.6.2(うち6.3.4、6.4.1、6.5.1パッチバージョンを除く)
![🔗]()
修正されたgemバージョン
以下の修正版をインストールすることが推奨されます。
![🔗]()
修正方法
gem update rdocで最新のrdoc gemをインストールします。
bundlerを使っている場合は、Gemfileにgem "rdoc", ">= 6.6.3.1"を追加してbundle installを実行します。
古いRubyでbundled gemと互換性を維持したい場合は、以下のバージョンをインストールできます。
- Ruby 3.2用: rdoc 6.5.1.1
- Ruby 3.1用: rdoc 6.4.1.1
- Ruby 3.0用: rdoc 6.3.4.1
![🔗]()
stringio gemの修正
詳しくは上記リリース情報をご覧ください。
stringioはdefault gemに分類されます(参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ)。
![🔗]()
影響を受けるRubyバージョンとgemバージョン
- Ruby 3.0.6以下
- Ruby 3.1.4以下
- stringio gem 3.0.2以下
![🔗]()
修正されたgemバージョン
stringioを3.0.3以上にアップグレードすることが推奨されます。現時点では以下のstringio 3.0.1.2が最新です。
![🔗]()
修正方法
gem update stringioで最新のstringio gemに更新します。
bundlerを使っている場合は、Gemfileにgem "stringio", ">= 3.0.1.2"を追加してbundle installを実行します。
古いRubyでbundled gemと互換性を維持したい場合は、以下のバージョンをインストールできます。
- Ruby 3.1用: stringio 3.0.1.2
- Ruby 3.0用: stringio 3.0.1.1
関連記事
The post Ruby: rdoc gemとstringio gemのセキュリティ修正がリリースされました first appeared on TechRacho.
注意
3/19にリリースされた以下のバージョンは誤った修正です。以下は適用せず、上述の6.3.4.1、6.4.1.1、6.5.1.1、6.6.3.1にアップグレードすることが推奨されます。上の差分も、以下の1つ前のバージョンと修正版との比較です。