Posted by aycabta on 28 Aug 2019
Ruby の標準添付ライブラリである RDoc に含まれる jQuery においてクロスサイトスクリプティング(XSS)の脆弱性が発見されました。 全ての Ruby ユーザーは、この問題が修正された RDoc をバンドルする最新バージョンに更新することが推奨されます。
詳細
以下の脆弱性が報告されています。
この問題の影響を受けるバージョンの Ruby のユーザーは、最新の Ruby に更新するか、下記の回避策を取ってください。 また、問題を完全に修正するためには、既に生成されている RDoc ドキュメントを再生成する必要があります。
影響を受けるバージョン
- Ruby 2.3 系列の全てのリリース
- Ruby 2.4.6 以前の全ての Ruby 2.4 系列
- Ruby 2.5.5 以前の全ての Ruby 2.5 系列
- Ruby 2.6.3 以前の全ての Ruby 2.6 系列
- commit f308ab2131ee675000926540cbb8c13c91dc3be5 より前の開発版
更新後に実施すべき対応について
なお、RDoc は静的ドキュメント生成ツールです。 したがって、RDoc 自体を修正しても、既に生成済みの HTML ドキュメントの脆弱性は解消されません。 これらの HTML ドキュメントを公開している場合は、以上いずれかの対策を行った上で、該当の HTML ドキュメントを再生成してください。
回避策
原則としては、Ruby 自体を最新のリリースに更新してください。それができない場合は、以下のコマンドを実行することにより、RDoc を最新版 (6.1.2 以降) に更新することによって、各脆弱性が修正されます。ただし、上記の通り生成されたドキュメントの再生成も必要です。
gem install rdoc -f
注意: 当初この記事で一部 rdoc-6.1.1.gem と書かれていましたが、これは脆弱なバージョンでした。rdoc-6.1.2 以降を使用してください。
開発版については、master ブランチの最新 (HEAD) に更新してください。
クレジット
この脆弱性情報は、Chris Seaton 氏によって報告されました。
更新履歴
- 2019年08月28日 18:00:00 (JST) 初版
- 2019年08月28日 20:50:00 (JST) RDoc のバージョン修正
- 2019年08月28日 21:30:00 (JST) いくつか表現の修正