Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Ruby 3.0.1/2.7.3/2.6.7/2.5.9セキュリティ修正がリリースされました

Ruby 3.0.1/2.7.3/2.6.7/2.5.9セキュリティ修正がリリースされました。

詳しくは上記リリースノートをご覧ください。お気づきの点がありましたらhachi8833までお知らせください。

Ruby 2.5のサポートが終了

Ruby 2.5は今回の2.5.9が最終リリースとなり、ステータスがEOL(End Of Life)に変わりました(今後2.5のセキュリティ修正はリリースされません)。Ruby 2.5をお使いの場合はできるだけ速やかにRuby 3.0/2.7/2.6にアップグレードしましょう。

After this release, Ruby 2.5 reaches EOL. In other words, this is the last release of Ruby 2.5 series. We will not release Ruby 2.5.10 even if a security vulnerability is found. We recommend all Ruby 2.5 users to upgrade to Ruby 3.0, 2.7 or 2.6 immediately.
同2.5.9リリースノートより

(Ruby 2.5の本来のEOLは「2021/03/31」と以下に記載されています↓)

参考: Ruby Maintenance Branches

🔗 修正の概要

以下の脆弱性が修正されました。

CVE-2021-28965: XML round-trip vulnerability in REXML

  • 影響を受けるRubyバージョン: 3.0.0、2.7.2以前、2.6.6以前、2.5.8以前
  • 影響を受けるrexmlバージョン: 3.2.4以前
  • 修正されたRubyバージョン: 3.0.1、2.7.3、2.6.7、2.5.9
  • 修正されたrexmlバージョン: 3.2.5

CVE-2021-28965はrexml gem(3.2.4以前)に関連する脆弱性です。詳しくはリンク先の情報をご覧ください。

ruby/rexml - GitHub

CVE-2021-28966: Path traversal in Tempfile on Windows

CVE-2021-28965はWindows環境のtmpdirライブラリに関する脆弱性です。詳しくはリンク先の情報をご覧ください。

  • 影響を受けるRubyバージョン: 3.0.0、2.7.2以前
  • 修正されたRubyバージョン: 3.0.1、2.7.3

参考: library tmpdir (Ruby 3.0.0 リファレンスマニュアル)

CVE-2020-25613: Potential HTTP Request Smuggling Vulnerability in WEBrick

  • 影響を受けるRubyバージョン: 2.7.1以前、2.6.6以前、2.5.8以前
  • 影響を受けるwebrickバージョン: 1.6.0以前
  • 修正されたRubyバージョン: 2.6.7、2.5.9
  • 修正されたwebrickバージョン: 1.6.1以降

CVE-2020-25613のwebrick gemの脆弱性情報は昨年2020年9月に公開済みです(以下の記事を参照)。今回リリースされた2.6.7と2.5.9に反映されています。

Ruby: WEBrick 1.6.1セキュリティ修正がリリース

ruby-buildとDocker Hub

rbenvで使われるruby-buildでは、既にRuby 3.0.1/2.7.3/2.6.7/2.5.9が利用可能になっています。

rbenv/ruby-build - GitHub

Docker Hubでも各種ディストリビューション向けのRuby 3.0.1/2.7.3/2.6.7/2.5.9が利用可能になっています。


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。