Tech Racho エンジニアの「?」を「!」に。
  1. TOP
  2. Ruby / Rails関連
  3. time gemのセキュリティ修正がリリースされました
  • Ruby / Rails関連

time gemのセキュリティ修正がリリースされました

Rubyのtime gemのセキュリティ修正がリリースされました。

対応方法

詳しくは上記の公式情報をご覧ください。

公式で推奨されている対応方法は、time gemを0.2.2以上にアップデートすることです。

  • gem update timeを実行することでアップデートできます
  • time gemをbundlerでインストールしている場合は、Gemfileにadd gem "time", ">= 0.2.2"を追加してbundle installを実行します

Ruby 3.1/3.2/3.0の場合

time gemを0.2.2にアップデートします。

Ruby 3.0でbundled gemとの互換性を確保したい場合

time gemを0.1.1にアップデートすることでも対応可能です。

Ruby 2.7の場合

time gemはRuby 3.0以降でしか動作しないため、Ruby 2.7を使っている場合は、Ruby 2.7を最新の2.7.8にアップデートする必要があります↓。

参考: Ruby 2.7.8 Released

なお、Ruby 2.7のEOLは本日2023/03/31いっぱいが予定されています(現時点では確定ではありません)。

参考: Ruby Maintenance Branches

🔗 修正の概要

以下の脆弱性が修正されました。

CVE-2023-28756: ReDoS vulnerability in Time

  • CVE - CVE-2023-28756(現時点ではエントリのみです)

  • 影響を受けるバージョン

    • Ruby 2.7.7以下
    • time gem 0.1.0
    • time gem 0.2.1

関連記事

uri gemのセキュリティ修正がリリースされました


タグ
この記事を書いた人

hachi8833

Twitter: @hachi8833、GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。 これまでにRuby on Rails チュートリアル第2版の監修および半分程度を翻訳、Railsガイドの初期翻訳ではほぼすべてを翻訳。その後も折に触れて更新翻訳中。 かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。 実は最近Go言語が好きで、Goで書かれたRubyライクなGoby言語のメンテナーでもある。 仕事に関係ないすっとこブログ「あけてくれ」は2000年頃から多少の中断をはさんで継続、現在はnote.comに移転。Amazonウィッシュリスト: https://bit.ly/32aAmiI

hachi8833の書いた記事一覧へ

本記事の内容へのお問い合せはTwitterで@techrachoへMentionまたはDMにてご連絡頂くか、運営会社であるBPS株式会社のお問い合せフォームよりお問い合せ下さい。

CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。
CONTACT FORM