Ruby 3.0.2/2.7.4/2.6.8セキュリティ修正がリリースされました。
Ruby 3.0.2 Released https://t.co/xZVjsMibaD
— Ruby Language (@rubylangorg) July 7, 2021
- リリースノート: Ruby 3.0.2 Released
- コミットログ差分: Comparing v3_0_1...v3_0_2 · ruby/ruby
- リリースノート: Ruby 2.7.4 Released
- コミットログ差分: Comparing v2_7_3...v2_7_4 · ruby/ruby
- リリースノート: Ruby 2.6.8 Released
- コミットログ差分: Comparing v2_6_7...v2_6_8 · ruby/ruby
詳しくは上記リリース情報をご覧ください。
🔗 修正の概要
3.0.2/2.7.4/2.6.8で以下の3つの脆弱性が修正されました。
🔗 CVE-2021-31810: Trusting FTP PASV responses vulnerability in Net::FTP
Net::FTPで、FTP PASVレスポンスを信頼してしまう脆弱性が発見されました。この脆弱性に割り当てられたCVE IDはCVE-2021-31810です。Rubyのアップグレードを強く推奨します。
net-ftpはRuby 3.0.1のデフォルトgemですが、パッケージングに問題があるため、Ruby自体をアップグレードしてください。
同記事本文より
- 影響を受けるRubyバージョン: Ruby 3.0(3.0.1以前)
- 影響を受けるRubyバージョン: Ruby 2.7(2.7.3以前)
- 影響を受けるRubyバージョン: Ruby 2.6(2.6.7以前)
- 修正されたRubyバージョン: Ruby 3.0.2、Ruby 2.7.4、Ruby 2.6.8
🔗 CVE-2021-32066: A StartTLS stripping vulnerability in Net::IMAP
Net::IMAPにはStartTLS strippingの脆弱性が存在します。この脆弱性に割り当てられたCVE IDはCVE-2021-32066です。Rubyのアップグレードを強く推奨します。
net-imapはRuby 3.0.1のデフォルトgemですが、パッケージングに問題があるため、Ruby自体をアップグレードしてください。
同記事本文より
- 影響を受けるRubyバージョン: Ruby 3.0(3.0.1以前)
- 影響を受けるRubyバージョン: Ruby 2.7(2.7.3以前)
- 影響を受けるRubyバージョン: Ruby 2.6(2.6.7以前)
- 修正されたRubyバージョン: Ruby 3.0.2、Ruby 2.7.4、Ruby 2.6.8
🔗 CVE-2021-31799: A command injection vulnerability in RDoc
このCVE-2021-31799については既に2021年5月2日に修正済みのRDoc 6.3.1がリリースされています。本記事公開時点の最新バージョンはRDoc 6.3.2です。
Rubyに同梱されているRDocにはコマンドインジェクションに関連する脆弱性があります。
同記事本文より
この脆弱性の影響を受けるRDocバージョンを使っている場合は、最新のRDocに更新してください。
アップデート方法
脆弱性を修正するには、gem install rdocコマンドを実行してRDocを最新バージョン(6.3.1以降)にアップデートします。
bundlerを使っている場合は、Gemfileにgem "rdoc", ">= 6.3.1"を追加してください。
同記事アップデート方法より
- 影響を受けるRDocバージョン: 3.11〜6.3.0の全バージョン
- 修正されたRDocバージョン: RDoc 6.3.1以降
参考: ruby-buildとDocker Hub
rbenvで使われるruby-buildでは、既にRuby 3.0.2/2.7.4/2.6.8が利用可能になっています。
Docker Hubでも各種ディストリビューション向けのRuby 3.0.2/2.7.4/2.6.8が利用可能になっています。
- Docker Hub: ruby