Ruby 3.2.8 / 3.1.7がリリースされました。バグ修正の他に、gemのセキュリティ修正も含まれます。
なお、Ruby 3.1.xのサポートは2025年03月31日で終了の見込みです(Ruby ブランチごとのメンテナンス状況)
Ruby News ➜ Ruby 3.2.8 Released https://t.co/sKSWystxcN
— RUBYLAND (@rubylandnews) March 26, 2025
Ruby News ➜ Ruby 3.1.7 Released https://t.co/VJnrsuCh6M
— RUBYLAND (@rubylandnews) March 26, 2025
- リリースノート: Release 3.2.8 · ruby/ruby
- コミットログ差分: Comparing v3_2_7...v3_2_8 · ruby/ruby
- リリースノート: Ruby 3.1.7 Released
- コミットログ差分: Comparing v3_1_6...v3_1_7 · ruby/ruby
詳しくは上記リリース情報および以下のセキュリティアドバイザリ情報をご覧ください。
参考: Security advisories: CVE-2025-27219, CVE-2025-27220 and CVE-2025-27221
🔗 セキュリティ修正の概要
以下の脆弱性が修正されました。
CVE-2025-27219: Denial of Service in CGI::Cookie.parse
CVE-2025-27219は、CGI::Cookie.parseの脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
参考: library cgi (Ruby 3.4 リファレンスマニュアル)
- 影響を受けるcgiバージョン: 0.3.5、0.3.6、0.4.0、0.4.1以下
- 修正されたcgiバージョン: 0.3.5.1、0.3.7、0.4.2以降
CVE-2025-27220: ReDoS in CGI::Util#escapeElement
CVE-2025-27220は、CGI::Util#escapeElementの脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるcgiバージョン: 0.3.5、0.3.6、0.4.0、0.4.1以下
- 修正されたcgiバージョン: 0.3.5.1、0.3.7、0.4.2以降
CVE-2025-27221: userinfo leakage in URI#join, URI#merge and URI#+
CVE-2025-27220は、URI#join、URI#merge、URI#+の脆弱性に関連します。詳しくは上記リンク先の情報をご覧ください。
参考: module URI (Ruby 3.4 リファレンスマニュアル)
- 影響を受けるuriバージョン: 0.11.3、0.12.0〜0.12.3、0.13.0、0.13.1、1.0.0〜1.0.2より小さいバージョン
- 修正されたuriバージョン: 0.11.3、0.12.4、0.13.2、1.0.3以降
参考: ruby-buildとDocker Hub
rbenvで使われるruby-buildでは、既にRuby 3.2.8 / 3.1.7が利用可能になっています。
参考: Release ruby-build 20250326 · rbenv/ruby-build
Docker Hubでも各種ディストリビューション向けのRuby 3.2.8 / 3.1.7が利用可能になっています。
- Docker Hub: ruby