Ruby 3.1.2/3.0.4/2.7.6/2.6.10セキュリティ修正がリリースされました。
If your browser's language setting isn't English, take a look at https://t.co/vZexZRotoQ :)
— usa (@unak) April 12, 2022
Rubyセキュリティ修正
- リリースノート: Ruby 3.1.2 Released
- コミットログ差分: Comparing v3_1_1...v3_1_2 · ruby/ruby
- リリースノート: Ruby 3.0.4 Released
- コミットログ差分: Comparing v3_0_3...v3_0_4 · ruby/ruby
- リリースノート:Ruby 2.7.6 Released
- コミットログ差分: Comparing v2_7_5...v2_7_6 · ruby/ruby
- リリースノート: Ruby 2.6.10 Released
- コミットログ差分: Comparing v2_7_5...v2_7_6 · ruby/ruby
詳しくは上記リリース情報をご覧ください。
今回のRubyリリースには、セキュリティ修正以外のバグ修正が含まれているものもあります。詳しくは上記リリースノートやコミットログ差分をご覧ください、
本来Ruby 2.6系のサポート期間は2022/03/31で終了ですが、今回は例外的に2.6.10が最後のセキュリティ修正としてリリースされました。今後2.6系のセキュリティ修正はリリースされないそうです。
以下の2件の脆弱性が修正されました。
CVE-2022-28738: Double free in Regexp compilation
Regexpのコンパイルで同一メモリを2回解放してしまう可能性のある脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるRubyバージョン
- Ruby 3.1.1およびそれ以前
- Ruby 3.0.3およびそれ以前
- 修正されたRubyバージョン
- Ruby 3.1.2
- Ruby 3.0.4
CVE-2022-28739: Buffer overrun in String-to-Float conversion
一部のString->Float変換メソッドがバッファオーバーランを引き起こす可能性のある脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるRubyバージョン
- Ruby 3.1.1およびそれ以前
- Ruby 3.0.3およびそれ以前
- Ruby 2.7.5およびそれ以前
- Ruby 2.6.9およびそれ以前
- 修正されたRubyバージョン
- Ruby 3.1.2
- Ruby 3.0.4
- Ruby 2.7.6
- Ruby 2.6.10
参考: ruby-buildとDocker Hub
rbenvで使われるruby-buildでは、既にRuby 3.1.2/3.0.4/2.7.6/2.6.10が利用可能になっています。
Docker Hubでも各種ディストリビューション向けのRuby 3.1.2/3.0.4/2.7.6/2.6.10が利用可能になっています。
- Docker Hub: ruby
追記: Nokogiri 1.13.4セキュリティ修正
Nokogiri 1.13.4セキュリティ修正もリリースされました。こちらの対応もお忘れなく。
Rubyists! Nokogiri v1.13.4 has been released. This is a security update for both CRuby and JRuby users.
Spoiler alert: this one has nothing to do with libxml2.https://t.co/YCJEJ12LxF
— mike dalessio (@flavorjones) April 11, 2022
詳しくは上記リリース情報をご覧ください。