Multiple vulnerabilities in RubyGems
Rubyに入っているRubyGemsには、複数の脆弱性が存在します。それはRubyGemsの公式ブログで報告されています。
詳細 次の脆弱性が報告されています。
安全でないObject逆シリアル化の可能性を修正します。gem所有者の脆弱性。
tarヘッダーの8進フィールドを厳密に解釈します。
パッケージに重複ファイルが存在する場合にセキュリティエラーを発生させます。
specホームページ属性にURL検証を強制します。
gemサーバー経由で表示された場合、ホームページ属性のXSS脆弱性を緩和します。
インストール時のpathトラバーサルの問題を防止します。
Rubyユーザーは、次のいずれかの回避策をできるだけ早く実行することを強く推奨します。
影響を受けるバージョン Ruby 2.2シリーズ
:2.2.9以前 Ruby 2.3シリーズ
:2.3.6以前 Ruby 2.4シリーズ
:2.4.3以前 Ruby 2.5シリーズ
:2.5.0以前 prior to trunk revision62422以前
回避策 RubyGems 2.7.6以降には脆弱性に対する修正が含まれているため、RubyGemsを最新バージョンにアップグレードしてください。
gem update --system
RubyGemsをアップグレードできない場合は、回避策として次のパッチを適用できます。
https://bugs.ruby-lang.org/attachments/download/7030/rubygems-276-for-ruby22.patch
https://bugs.ruby-lang.org/attachments/download/7029/rubygems-276-for-ruby23.patch
https://bugs.ruby-lang.org/attachments/download/7028/rubygems-276-for-ruby24.patch
https://bugs.ruby-lang.org/attachments/download/7027/rubygems-276-for-ruby25.patch