Ruby 3.0.3/2.7.5/2.6.9セキュリティ修正がリリースされました。
リリースノート
詳しくは上記リリース情報をご覧ください。
🔗 修正の概要
Ruby本体に含まれる「default gem」↓の脆弱性が3件修正されました。
参考: standard librariesとdefault gemsとbundled gemsの違い - esm アジャイル事業部 開発者ブログ
基本的には当該gemを更新するかRubyバージョンを更新することで修正可能です。
CVE-2021-41817: Regular Expression Denial of Service Vulnerability of Date Parsing Methods
CVE-2021-41817はdate gemのDate.parseなどのメソッド内部で使われている正規表現の脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるdate gemバージョン
- date gem 3.2.0以前
- date gem 3.1.1以前(Ruby 3.0.3以前のRuby 3.0系)
- date gem 3.0.1以前(Ruby 2.7.5以前のRuby 2.7系)
- date gem 2.0.0以前(Ruby 2.6.9以前のRuby 2.6系)
- gemが修正されたRubyバージョン: 3.0.3/2.7.5/2.6.9
- 修正されたdate gemバージョン
- date gem 3.2.1以降
- 本記事公開時点ではdate gem 3.2.2です。
- date gem 3.1.2以降
- 本記事公開時点ではdate gem 3.1.3です。
- date gem 3.0.2以降
- 本記事公開時点ではdate gem 3.0.3です。
- date gem 2.0.1以降
- 本記事公開時点ではdate gem 2.0.2です。
- date gem 3.2.1以降
CVE-2021-41816: Buffer Overrun in CGI.escape_html
CVE-2021-41816はcgi gemのCGI.escape_htmlメソッドで見つかった正規表現の脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるRubyバージョン: Ruby 2.7以降
- 影響を受けるcgi gemバージョン
- cgi gem 0.3.0以前
- cgi gem 0.2.0以前(Ruby 3.0.3以前のRuby 3.0系)
- cgi gem 0.1.0以前(Ruby 2.7.5以前のRuby 2.7系)
- gemが修正されたRubyバージョン: 3.0.3/2.7.5
- 修正されたcgi gemバージョン
- cgi gem 0.3.1以降
- cgi gem 0.2.1以降
- cgi gem 0.1.1以降
CVE-2021-41819: Cookie Prefix Spoofing in CGI::Cookie.parse
CVE-2021-41819はcgi gemのCGI::Cookie.parseメソッドで見つかった脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるRubyバージョン: Ruby 3.0、Ruby 2.7、Ruby 2.6.8以前
- ただしRuby 2.6.8以前は
gem update cgiでは修正できません。Ruby を2.6.9以降にアップデートする必要があります。
- ただしRuby 2.6.8以前は
- 影響を受けるcgi gemバージョン
- cgi gem 0.3.0以前
- cgi gem 0.2.0以前(Ruby 3.0.3以前のRuby 3.0系)
- cgi gem 0.1.0以前(Ruby 2.7.5以前のRuby 2.7系)
- gemが修正されたRubyバージョン: 3.0.3/2.7.5/2.6.9
- 修正されたcgi gemバージョン
- cgi gem 0.3.1以降
- cgi gem 0.2.1以降
- cgi gem 0.1.1以降
参考: ruby-buildとDocker Hub
rbenvで使われるruby-buildでは、既にRuby 3.0.3/2.7.5/2.6.9が利用可能になっています。
Docker Hubでも各種ディストリビューション向けのRuby 3.0.3/2.7.5/2.6.9が利用可能になっています。
- Docker Hub: ruby
注釈
Ruby 2.6.x系は現在セキュリティメンテナンスフェーズにつき、重大なセキュリティ問題の修正のみが行われます。詳しくはRuby 2.6.9 リリースノートをご覧ください。