rdoc gemとstringio gemのセキュリティ修正がリリースされました。
We disclosed two CVEs for the default gems today.
* https://t.co/do5D0xqdch
* https://t.co/NLcUmoRgrYWe recommend upgrading them for keep your code as safety.
— Ruby Programming Language (@rubylangorg) March 21, 2024
🔗 rdoc gemの修正
詳しくは上記リリース情報をご覧ください。
rdocはdefault gemに分類されます(参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ)。
🔗 影響を受けるRubyバージョンとgemバージョン
- Ruby 3.0.6以下
- Ruby 3.1.4以下
- Ruby 3.2.3以下
- Ruby 3.3.0
- rdoc gem
- 6.3.3以下
- 6.4.0〜6.6.2(うち6.3.4、6.4.1、6.5.1パッチバージョンを除く)
🔗 修正されたgemバージョン
以下の修正版をインストールすることが推奨されます。
🔗 修正方法
gem update rdocで最新のrdoc gemをインストールします。
bundlerを使っている場合は、Gemfileにgem "rdoc", ">= 6.6.3.1"を追加してbundle installを実行します。
古いRubyでbundled gemと互換性を維持したい場合は、以下のバージョンをインストールできます。
- Ruby 3.2用: rdoc 6.5.1.1
- Ruby 3.1用: rdoc 6.4.1.1
- Ruby 3.0用: rdoc 6.3.4.1
注意
3/19にリリースされた以下のバージョンは誤った修正です。以下は適用せず、上述の6.3.4.1、6.4.1.1、6.5.1.1、6.6.3.1にアップグレードすることが推奨されます。上の差分も、以下の1つ前のバージョンと修正版との比較です。
🔗 stringio gemの修正
更新(2024/04/15)
その後、Rubyセキュリティ情報に以下の訂正が加えられました。
2024-04-11 21:50:00 (JST) 影響を受ける StringIO の バージョンを 3.0.2 から 3.0.1 に変更
CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性より
Fixed the affected version of StringIO (3.0.2 -> 3.0.1) at 2024-04-11 12:50:00 (UTC)
CVE-2024-27280: Buffer overread vulnerability in StringIOより
本記事のバージョン記述を上記訂正に沿って更新しました。
- リリースノート: CVE-2024-27280: Buffer overread vulnerability in StringIO
- リリースノート: CVE-2024-27280: StringIOにおけるバッファーオーバーリード脆弱性
詳しくは上記リリース情報をご覧ください。
stringioはdefault gemに分類されます(参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ)。
🔗 影響を受けるRubyバージョンとgemバージョン
- Ruby 3.0.6以下
- Ruby 3.1.4以下
- stringio gem
3.0.23.0.1以下
🔗 修正されたgemバージョン
stringioを3.0.3以上にアップグレードすることが推奨されます。現時点では以下のstringio 3.0.1.2が最新です。
注意: stringio 3.0.1.2にはBug #19389のバグ修正も含まれています。
🔗 修正方法
gem update stringioで最新のstringio gemに更新します。
bundlerを使っている場合は、Gemfileにgem "stringio", ">= 3.0.1.2"を追加してbundle installを実行します。
古いRubyでbundled gemと互換性を維持したい場合は、以下のバージョンをインストールできます。
- Ruby 3.1用: stringio 3.0.1.2
- Ruby 3.0用: stringio 3.0.1.1
更新情報