Ruby 3.0.1/2.7.3/2.6.7/2.5.9セキュリティ修正がリリースされました。
Ruby 3.0.1 Released https://t.co/hDTy7hNOj1
— Yukihiro Matsumoto (@yukihiro_matz) April 5, 2021
- リリースノート: Ruby 3.0.1 Released
- コミットログ差分: Comparing v3_0_0...v3_0_1 · ruby/ruby
- リリースノート: Ruby 2.7.3 Released
- コミットログ差分: Comparing v2_7_2...v2_7_3 · ruby/ruby
- リリースノート: Ruby 2.6.7 Released
- コミットログ差分: Comparing v2_6_6...v2_6_7 · ruby/ruby
- リリースノート: Ruby 2.5.9 Released
- コミットログ差分: Comparing v2_5_8...v2_5_9 · ruby/ruby
詳しくは上記リリースノートをご覧ください。お気づきの点がありましたらhachi8833までお知らせください。
Ruby 2.5のサポートが終了
Ruby 2.5は今回の2.5.9が最終リリースとなり、ステータスがEOL(End Of Life)に変わりました(今後2.5のセキュリティ修正はリリースされません)。Ruby 2.5をお使いの場合はできるだけ速やかにRuby 3.0/2.7/2.6にアップグレードしましょう。
After this release, Ruby 2.5 reaches EOL. In other words, this is the last release of Ruby 2.5 series. We will not release Ruby 2.5.10 even if a security vulnerability is found. We recommend all Ruby 2.5 users to upgrade to Ruby 3.0, 2.7 or 2.6 immediately.
同2.5.9リリースノートより
(Ruby 2.5の本来のEOLは「2021/03/31」と以下に記載されています↓)
修正の概要
以下の脆弱性が修正されました。
CVE-2021-28965: XML round-trip vulnerability in REXML
- 影響を受けるRubyバージョン: 3.0.0、2.7.2以前、2.6.6以前、2.5.8以前
- 影響を受けるrexmlバージョン: 3.2.4以前
- 修正されたRubyバージョン: 3.0.1、2.7.3、2.6.7、2.5.9
- 修正されたrexmlバージョン: 3.2.5
CVE-2021-28965はrexml gem(3.2.4以前)に関連する脆弱性です。詳しくはリンク先の情報をご覧ください。
CVE-2021-28966: Path traversal in Tempfile on Windows
CVE-2021-28965はWindows環境のtmpdirライブラリに関する脆弱性です。詳しくはリンク先の情報をご覧ください。
- 影響を受けるRubyバージョン: 3.0.0、2.7.2以前
- 修正されたRubyバージョン: 3.0.1、2.7.3
参考: library tmpdir
(Ruby 3.0.0 リファレンスマニュアル)
CVE-2020-25613: Potential HTTP Request Smuggling Vulnerability in WEBrick
- 影響を受けるRubyバージョン: 2.7.1以前、2.6.6以前、2.5.8以前
- 影響を受けるwebrickバージョン: 1.6.0以前
- 修正されたRubyバージョン: 2.6.7、2.5.9
- 修正されたwebrickバージョン: 1.6.1以降
CVE-2020-25613のwebrick gemの脆弱性情報は昨年2020年9月に公開済みです(以下の記事を参照)。今回リリースされた2.6.7と2.5.9に反映されています。
ruby-buildとDocker Hub
rbenvで使われるruby-buildでは、既にRuby 3.0.1/2.7.3/2.6.7/2.5.9が利用可能になっています。
Docker Hubでも各種ディストリビューション向けのRuby 3.0.1/2.7.3/2.6.7/2.5.9が利用可能になっています。
- Docker Hub: ruby