Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Ruby: ‘cgi’ gemのセキュリティ修正0.3.5、0.2.2、0.1.0.2がリリースされました

cgi gemのセキュリティ修正がリリースされました。

詳しくは上記リリース情報をご覧ください。

ruby/cgi - GitHub

参考: library cgi (Ruby 3.1 リファレンスマニュアル)

影響を受けるgemバージョン

  • cgi gem 0.3.3以前
  • cgi gem 0.2.1以前
  • cgi gem 0.1.1、0.1.0.1、0.1.0

修正されたgemバージョン

修正方法

  • gem update cgiを実行する、または
  • bundlerで利用している場合はGemfileにgem "cgi", ">= 0.3.5"などの修正版の指定を追加する

なお、cgi gemは「default gem」に分類されるため、アップデートはできますがgem uninstall cgiを実行してもデフォルトのバージョンは削除できません。

参考: standard librariesとdefault gemsとbundled gemsの違い – ESM アジャイル事業部 開発者ブログ

🔗 修正の概要

以下の脆弱性が修正されました。

NVD – CVE-2021-33621

  • Base Score: 8.8 HIGH(CVSS Version 3.x)

リンク先のCVEには詳しい情報は書かれていないので、上述のリリースノートや差分をチェックするとよいでしょう。

今回のcgi gemのセキュリティ問題は徳丸先生が発見・報告したことで修正されました。

関連記事

Puma 5.6.4/4.3.12セキュリティ修正がリリースされました


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。