Ruby 3.1.0 リリース
Ruby 3.1系初のリリースである、Ruby 3.1.0 が公開されました。Ruby 3.1は3.0と高い互換性を保ちながら、多くの機能を追加しています。
Posted by naruse on 25 Dec 2021
CVE-2021-41819: CGI::Cookie.parse 内の Cookie プレフィックスの偽装
CGI :: Cookie.parse 内で Cookie プレフィックスを偽装する脆弱性が発見されました。 この脆弱性は、CVE-2021-41819 として登録されています。 Ruby をアップグレードすることを強く推奨します。
Posted by mame on 24 Nov 2021
CVE-2021-41816: CGI.escape_html 内のバッファオーバーラン
CGI.escape_html 内のバッファオーバーランの脆弱性が発見されました。 この脆弱性は、CVE-2021-41816として登録されています。 Ruby をアップグレードすることを強く推奨します。
Posted by mame on 24 Nov 2021
CVE-2021-41817: 日付をパースするメソッドにおける正規表現 Denial of Service の脆弱性について
日付をパースするメソッドにおける正規表現 Denial of Service(ReDoS)脆弱性の修正を含む、date gem 3.2.1、3.1.2、3.0.2、2.0.1 をリリースしました。攻撃者はこの脆弱性を悪用し、効果的な DoS 攻撃を引き起こすことができます。
Posted by mame on 15 Nov 2021
CVE-2021-31810: Net::FTP における信頼性のある FTP PASV 応答の脆弱性について
信頼性のある FTP PASV 応答の脆弱性が Net::FTP で発見されました。 この脆弱性は CVE-2021-31810 として登録されています。 Ruby をアップグレードすることを強く推奨します。
Posted by shugo on 7 Jul 2021
CVE-2021-32066: Net::IMAP 内の StartTLS ストリッピングの脆弱性について
Net::IMAP 内の StartTLS ストリッピングに脆弱性が発見されました。 この脆弱性は CVE-2021-32066 として登録されています。 Ruby をアップグレードすることを強く推奨します。
Posted by shugo on 7 Jul 2021
CVE-2021-31799: RDoc におけるコマンドインジェクションの脆弱性について
Ruby の標準添付ツールである RDoc にコマンドインジェクションの脆弱性が発見されました。 全ての Ruby ユーザーは、RDoc をこの問題が修正された最新バージョンに更新することが推奨されます。
Posted by aycabta on 2 May 2021
CVE-2021-28965: REXML 内の XML ラウンドトリップ脆弱性について
Ruby にバンドルされている REXML gem に XML ラウンドトリップ脆弱性が発見されました。 この脆弱性は CVE-2021-28965 として登録されています。 REXML gem をアップグレードすることを強く推奨します。
Posted by mame on 5 Apr 2021
CVE-2021-28966: Windows 版 Tempfile 内のパストラバーサルについて
Windows 版 Ruby にバンドルされている tmpdir ライブラリには、意図しないディレクトリを作成してしまう脆弱性が発見されました。 また、Windows 版 Ruby にバンドルされている tempfile ライブラリは、内部で tmpdir を使用しているため同様の脆弱性があります。 この脆弱性は CVE-2021-28966 として登録されています。
Posted by mame on 5 Apr 2021