URI gemのセキュリティ修正0.12.2/0.10.3がリリースされました。ReDoS脆弱性の修正です。
We disclosed another ReDoS vulnerability of URI https://t.co/E8XzHH6tzl
— Ruby Programming Language (@rubylangorg) June 29, 2023
- リリースノート: CVE-2023-36617: ReDoS vulnerability in URI
- CVE: CVE Record | CVE -- 現時点では予約のみ
詳しくは上記リリース情報をご覧ください。
今回のセキュリティ修正は、前回のURI gemの修正↓(CVE-2023-28755)で不完全だった部分が修正されています。
- 影響を受けるURI gemバージョン
- 0.12.1以前
- 修正されたURI gemバージョン
※現時点のGitHubリポジトリではURI gemのリリースタグはまだ公開されていませんが、rubygems.orgには反映済みなのでgem update url
は実行可能です。
修正方法
gem update uri
を実行する、または- Gemfileに
gem "uri", ">= 0.12.2"
やgem "uri", ">= 0.10.3"
のように修正版の指定を追加する
なお、uri gemは当該Rubyバージョンでは「default gem」に分類されるため、アップデートはできますがgem uninstall uri
を実行しても削除できません。
参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ