Rubyのuri gemのセキュリティ修正がリリースされました。
CVE-2023-28755: ReDoS vulnerability in URI https://t.co/QhBr4EL9OE
— Ruby Programming Language (@rubylangorg) March 28, 2023
詳しくは上記の公式情報をご覧ください。
公式で推奨されている対応方法は、uri gemを0.12.1にアップデートすることです。Ruby 3.2で使っているuri gemも更新対象です。
- リリース: Release v0.12.1 · ruby/uri -- 推奨バージョン
なお、Ruby 2.7〜3.1でuri gemを互換性の問題で0.12.1にアップデートできない事情がある場合は、以下の対応バージョンをインストールできます。
- リリース: Release v0.11.1 · ruby/uri(Ruby 3.1で互換性を維持したい場合向け)
- リリース: Release v0.10.2 · ruby/uri(Ruby 3.0で互換性を維持したい場合向け)
- リリース: Release v0.10.0.1 · ruby/uri(Ruby 2.7で互換性を維持したい場合向け)
🔗 修正の概要
以下の脆弱性が修正されました。
CVE-2023-28755: ReDoS vulnerability in URI
- CVE - CVE-2023-28755(現時点ではエントリのみです)
- 影響を受けるuri gemバージョン:
- uri gem 0.12.0
- uri gem 0.11.0
- uri gem 0.10.1
- uri gem 0.10.0以前
- 修正されたuri gemバージョン:
- uri gem 0.12.1
- uri gem 0.11.1
- uri gem 0.10.2
- uri gem 0.10.0.1