Puma gemとWEBrick gemのセキュリティ修正がリリースされました。
なお、PumaとWEBrickはどちらも、Ruby 3.3.5ではdefault gemやbundled gemではありません(デフォルトではRubyにインストールされず、gem uninstallで削除可能です)。
参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ
参考: Standard Gems
🔗 Puma gemの修正
- リリースノート: Release 6.4.3 · puma/puma
- CVE: NVD - CVE-2024-45614
詳しくは上記リリース情報とCVEをご覧ください。
- 影響を受けるPuma gemバージョン
- 6.4.2以下
- 修正されたバージョン
- 6.4.3
bundlerを使っている場合はbundle update pumaを実行します。
Pumaがgemコマンドでインストールされている場合は、gem update pumaで最新のpuma gemをインストールします。
🔗 WEBrick gemの修正
- リリースノート: Release v1.8.2 · ruby/webrick
- CVE: NVD - CVE-2024-47220
詳しくは上記リリース情報とCVEをご覧ください。
- 影響を受けるWEBrick gemバージョン
- 1.8.1以下
- 修正されたバージョン
- 1.8.2
bundlerを使っている場合はbundle update webrickを実行します。
WEBrickがgemコマンドでインストールされている場合は、gem update webrickで最新のWEBrick gemをインストールします。
🔗 参考: bundler-audit
bundler-auditがセットアップ済みの環境であれば、bundle-audit updateでruby-advisory-dbの脆弱性情報を更新してからbundle-auditを実行することで、現在のGemfile.lockのgemの脆弱性があるかどうかを確認できます。
