Ruby 3.3.1, 3.2.4, 3.1.5, 3.0.7 がリリース

以下の脆弱性を対応した Ruby 3.3.1 がリリースされました。

• Ruby 3.3.1 Released
• CVE-2024-27282: Arbitrary memory address read vulnerability with Regex search
• CVE-2024-27281: RCE vulnerability with .rdoc_options in RDoc
• CVE-2024-27280: Buffer overread vulnerability in StringIO

また、それにともない Ruby 3.2.4, 3.1.5, 3.0.7 もリリースされています。

• Ruby 3.2.4 Released
• Ruby 3.1.5 Released
• Ruby 3.0.7 Released

Ruby 3.0.7 はこれが最後のリリースになり EOL になります。
今後脆弱性が発見されても Ruby 3.0.8 はリリースされないので Ruby 3.0 系を使っている人は Ruby 3.1 系にあげましょう。

さらに Ruby 3.3.1 では bootsnap + zeitwerk の組み合わせでバグが発生しているようなのでそちらも合わせて注意してください。

• Bug #20450: Ruby 3.3.1 broken with bootsnap - Ruby master - Ruby Issue Tracking System

こちらは DISABLE_BOOTSNAP=1 することで警告は出るものの動くようにはなるみたいです。

以下 Ruby 3.3.1 で修正されたバグフィックスで気になったもの。

• 正規表現周りのバグ修正
  • [Bug #20083] String#match? behaving inconsistently with Ruby 3.3.0
  • Bug #20098: Wrong regexp match in ruby 3.2 and 3.3
  • Bug #20207: Segmentation fault for a regexp containing positive and negative lookaheads
  • Bug #20246: Unexpected behavior for Regexp in Subexpression Calls on Ruby 3.3.0
• 匿名引数を使用した場合のシンタックスエラーになるバグ修正
  • Bug #20090: Anonymous arguments are now syntax errors in unambiguous cases
• その他、細かいバグ修正
  • Bug #20094: Inline while loop behavior changed unexpectedly in 3.3.0
  • Bug #20324: (1..).overlap?('foo'..) returns true
  • Bug #20085: Fiber.new{ }.resume causes Segmentation fault for Ruby 3.3.0 on aarch64-linux
    • aarch64-linux 環境で Fiber.new{ }.resume が segv するバグ修正
    • macOS 環境で困っていた人が多い印象

上記であげた以外ではメモリリークや YJIT 周りの修正が多そうですかね？
詳しくは Release 3.3.1 を参照してください。