Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Ruby 3.1.2/3.0.4/2.7.6/2.6.10セキュリティ修正がリリースされました

Ruby 3.1.2/3.0.4/2.7.6/2.6.10セキュリティ修正がリリースされました。

Rubyセキュリティ修正

詳しくは上記リリース情報をご覧ください。

今回のRubyリリースには、セキュリティ修正以外のバグ修正が含まれているものもあります。詳しくは上記リリースノートやコミットログ差分をご覧ください、

本来Ruby 2.6系のサポート期間は2022/03/31で終了ですが、今回は例外的に2.6.10が最後のセキュリティ修正としてリリースされました。今後2.6系のセキュリティ修正はリリースされないそうです。

参考: Ruby Maintenance Branches

以下の2件の脆弱性が修正されました。

CVE-2022-28738: Double free in Regexp compilation

Regexpのコンパイルで同一メモリを2回解放してしまう可能性のある脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。

  • 影響を受けるRubyバージョン
    • Ruby 3.1.1およびそれ以前
    • Ruby 3.0.3およびそれ以前
  • 修正されたRubyバージョン
    • Ruby 3.1.2
    • Ruby 3.0.4

CVE-2022-28739: Buffer overrun in String-to-Float conversion

一部のString->Float変換メソッドがバッファオーバーランを引き起こす可能性のある脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。

  • 影響を受けるRubyバージョン
    • Ruby 3.1.1およびそれ以前
    • Ruby 3.0.3およびそれ以前
    • Ruby 2.7.5およびそれ以前
    • Ruby 2.6.9およびそれ以前
  • 修正されたRubyバージョン
    • Ruby 3.1.2
    • Ruby 3.0.4
    • Ruby 2.7.6
    • Ruby 2.6.10

参考: バッファオーバーラン - Wikipedia

参考: ruby-buildとDocker Hub

rbenvで使われるruby-buildでは、既にRuby 3.1.2/3.0.4/2.7.6/2.6.10が利用可能になっています。

rbenv/ruby-build - GitHub

Docker Hubでも各種ディストリビューション向けのRuby 3.1.2/3.0.4/2.7.6/2.6.10が利用可能になっています。

追記: Nokogiri 1.13.4セキュリティ修正

Nokogiri 1.13.4セキュリティ修正もリリースされました。こちらの対応もお忘れなく。

詳しくは上記リリース情報をご覧ください。

関連記事

Railsセキュリティ修正がリリースされました(7.0.2.3、6.1.4.7、6.0.4.7、5.2.6.3)


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。