Tech Racho エンジニアの「?」を「!」に。
  • Ruby / Rails関連

Ruby: URI gemのセキュリティ修正0.12.2/0.10.3がリリースされました

URI gemのセキュリティ修正0.12.2/0.10.3がリリースされました。ReDoS脆弱性の修正です。

詳しくは上記リリース情報をご覧ください。

ruby/uri - GitHub

今回のセキュリティ修正は、前回のURI gemの修正↓(CVE-2023-28755)で不完全だった部分が修正されています。

uri gemのセキュリティ修正がリリースされました

※現時点のGitHubリポジトリではURI gemのリリースタグはまだ公開されていませんが、rubygems.orgには反映済みなのでgem update urlは実行可能です。

修正方法

  • gem update uriを実行する、または
  • Gemfileにgem "uri", ">= 0.12.2"gem "uri", ">= 0.10.3"のように修正版の指定を追加する

なお、uri gemは当該Rubyバージョンでは「default gem」に分類されるため、アップデートはできますがgem uninstall uriを実行しても削除できません。

参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ

関連記事

uri gemのセキュリティ修正がリリースされました

time gemのセキュリティ修正がリリースされました


CONTACT

TechRachoでは、パートナーシップをご検討いただける方からの
ご連絡をお待ちしております。ぜひお気軽にご意見・ご相談ください。