Tech Racho エンジニアの「?」を「!」に。
  1. TOP
  2. Ruby / Rails関連
  3. Ruby: 'cgi' gemのセキュリティ修正0.3.5、0.2.2、0.1.0.2がリリースされました
  • Ruby / Rails関連

Ruby: 'cgi' gemのセキュリティ修正0.3.5、0.2.2、0.1.0.2がリリースされました

cgi gemのセキュリティ修正がリリースされました。

詳しくは上記リリース情報をご覧ください。

ruby/cgi - GitHub

参考: library cgi (Ruby 3.1 リファレンスマニュアル)

影響を受けるgemバージョン

  • cgi gem 0.3.3以前
  • cgi gem 0.2.1以前
  • cgi gem 0.1.1、0.1.0.1、0.1.0

修正されたgemバージョン

修正方法

  • gem update cgiを実行する、または
  • bundlerで利用している場合はGemfileにgem "cgi", ">= 0.3.5"などの修正版の指定を追加する

なお、cgi gemは「default gem」に分類されるため、アップデートはできますがgem uninstall cgiを実行してもデフォルトのバージョンは削除できません。

参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ

🔗 修正の概要

以下の脆弱性が修正されました。

NVD - CVE-2021-33621

  • Base Score: 8.8 HIGH(CVSS Version 3.x)

リンク先のCVEには詳しい情報は書かれていないので、上述のリリースノートや差分をチェックするとよいでしょう。

今回のcgi gemのセキュリティ問題は徳丸先生が発見・報告したことで修正されました。

関連記事

Puma 5.6.4/4.3.12セキュリティ修正がリリースされました


タグ
この記事を書いた人

hachi8833

Twitter: @hachi8833、GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。 これまでにRuby on Rails チュートリアル第2版の監修および半分程度を翻訳、Railsガイドの初期翻訳ではほぼすべてを翻訳。その後も折に触れて更新翻訳中。 かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。 実は最近Go言語が好きで、Goで書かれたRubyライクなGoby言語のメンテナーでもある。 仕事に関係ないすっとこブログ「あけてくれ」は2000年頃から多少の中断をはさんで継続、現在はnote.comに移転。Amazonウィッシュリスト: https://bit.ly/32aAmiI

hachi8833の書いた記事一覧へ

本記事の内容へのお問い合せはTwitterで@techrachoへMentionまたはDMにてご連絡頂くか、運営会社であるBPS株式会社のお問い合せフォームよりお問い合せ下さい。

CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。
CONTACT FORM