rexml gemのセキュリティ修正がリリースされました。Ruby 3.1以下でrexmlを使っている場合は、rexmlの更新が必要です。
なお、rexml gemは、Ruby 3.3.5ではbundled gemに分類されています(Rubyといっしょにインストールされ、gem uninstall rexmlコマンドで削除可能)。
参考: standard librariesとdefault gemsとbundled gemsの違い - ESM アジャイル事業部 開発者ブログ
参考: Standard Gems
🔗 rexml gemの修正
- リリースタグ: Release REXML 3.3.9 - 2024-10-24 · ruby/rexml
- CVE: CVE-2024-49761
- 差分: Comparing v3.3.8...v3.3.9 · ruby/rexml
Ruby 3.2以降はこの脆弱性の影響を「受けません」。詳しくは上記リリース情報とCVEをご覧ください。
- 影響を受けるrexml gemバージョン
- rexml 3.3.8以下をRuby 3.1以下で利用した場合に影響を受ける。
- 修正されたバージョン
- rexml 3.3.9以降
bundlerを使っている場合はbundle update rexmlを実行します。
rexmlがgemコマンドでインストールされている場合は、gem update rexmlで最新のrexml gemをインストールします。
🔗 参考: bundler-audit
bundler-auditがセットアップ済みの環境であれば、bundle-audit updateでruby-advisory-dbの脆弱性情報を更新してからbundle-auditを実行することで、現在のGemfile.lockのgemの脆弱性があるかどうかを確認できます。
