Ruby開発チームは10月1日、プログラミング言語Rubyの各系列の最新版となるRuby 2.6.4、Ruby 2.5.7、Ruby 2.4.8をリリースしました。現在公式サイトより各バージョンのソースコードをダウンロードすることができます。
今回のリリースではそれぞれ以下の4つの脆弱性が修正されています。
- CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性
- CVE-2019-16254: WEBrick における HTTP レスポンス偽装の脆弱性について(追加の修正)
- CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性
- CVE-2019-16201: WEBrickのDigest認証に関する正規表現Denial of Serviceの脆弱性
その他の変更点はcommit logで確認可能です。
なおRuby 2.4系列はセキュリティメンテナンスフェーズ中で、2020年3月末頃をめどにサポートが終了するため、新しいバージョンへ移行することが推奨されています。
