Ruby 3.3.1/3.2.4/3.1.5/3.0.7がリリースされました。
We disclosed CVE-2024-27282 today https://t.co/KbE6Aypb9j and released 3.3.1, 3.2.4, 3.1.5 and 3.0.7 with security fix for CVE-2024-27282. We recommend to update them from old versions.
— Ruby Programming Language (@rubylangorg) April 23, 2024
- リリースノート: Ruby 3.3.1 Released
- コミットログ差分: Comparing v3_3_0...v3_3_1 · ruby/ruby
- リリースノート: Ruby 3.2.4 Released
- コミットログ差分: Comparing v3_2_3...v3_2_4 · ruby/ruby
- リリースノート: Ruby 3.1.5 Released
- コミットログ差分: Comparing v3_1_4...v3_1_5 · ruby/ruby
- リリースノート: Ruby 3.0.7 Released
- コミットログ差分: Comparing v3_0_6...v3_0_7 · ruby/ruby
詳しくは上記リリース情報をご覧ください。
上記でリリースされたRuby本体には、通常のバグ修正に加えて、以下のセキュリティ修正も含まれています。バグ修正の内容はバージョンごとに異なる可能性があります。
また、以下で既に修正されたrdoc gemとstringio gemも上記リリースに含まれます。
🔗 修正の概要
以下の脆弱性が修正されました。
影響を受けるRubyバージョン
- Ruby 3.3.0
- Ruby 3.2.3以下
- Ruby 3.1.4以下
- Ruby 3.0.6以下
修正されたRubyバージョン
上記セキュリティ情報では、修正方法としてRuby 3.3.1にアップグレードすることが推奨されています。Ruby 3.2.x〜Ruby 3.0.xを利用している場合は、それぞれ以下の修正済みバージョンにアップグレード可能です。
- Ruby 3.3.1
- Ruby 3.2.4
- Ruby 3.1.5
- Ruby 3.0.7
補足
Ruby 3.0.xは既に2023-04-01にEOL(end-of-life: サポート終了)に達していましたが、今回は特別に3.0.7がリリースされ、EOLが2024-04-23に変更されました。
今後Ruby 3.0.xについてはセキュリティ修正のリリースを期待するのではなく、サポート中のRubyバージョンにアップグレードすることが推奨されます。
Rubyのメンテナンスポリシーについては、以下を参照してください。
参考: ruby-buildとDocker Hub
rbenvで使われるruby-buildでは、以下で既にRuby 3.3.1/3.2.4/3.1.5/3.0.7が利用可能になっています。
Docker Hubでも各種ディストリビューション向けのRuby 3.3.1/3.2.4/3.1.5/3.0.7が利用可能になっています。
- Docker Hub: ruby
注: ただし、3.3.1/3.2.4/3.1.5/3.0.7リリース後にdocker-library/rubyでいくつかビルドエラーの修正が行われたので、念のため確認しておくとよいでしょう。
注意
注: 上記の情報はRuby 2.7以下が安全であることを意味しません。Ruby 2.7は既に2023-03-31にEOL(end-of-life: サポート終了)に達しているのでセキュリティ調査や修正は行われません。Ruby 2.7以下を利用している場合は、速やかにサポート中のRubyバージョンにアップグレードしましょう。
Rubyのメンテナンスポリシーについては、以下を参照してください。