😊
Ruby 3.3.1, 3.2.4, 3.1.5, 3.0.7 がリリース
以下の脆弱性を対応した Ruby 3.3.1 がリリースされました。
- Ruby 3.3.1 Released
- CVE-2024-27282: Arbitrary memory address read vulnerability with Regex search
- CVE-2024-27281: RCE vulnerability with .rdoc_options in RDoc
- CVE-2024-27280: Buffer overread vulnerability in StringIO
また、それにともない Ruby 3.2.4, 3.1.5, 3.0.7 もリリースされています。
Ruby 3.0.7 はこれが最後のリリースになり EOL になります。
今後脆弱性が発見されても Ruby 3.0.8 はリリースされないので Ruby 3.0 系を使っている人は Ruby 3.1 系にあげましょう。
さらに Ruby 3.3.1 では bootsnap + zeitwerk の組み合わせでバグが発生しているようなのでそちらも合わせて注意してください。
こちらは DISABLE_BOOTSNAP=1
することで警告は出るものの動くようにはなるみたいです。
以下 Ruby 3.3.1 で修正されたバグフィックスで気になったもの。
- 正規表現周りのバグ修正
- 匿名引数を使用した場合のシンタックスエラーになるバグ修正
- その他、細かいバグ修正
-
Bug #20094: Inline while loop behavior changed unexpectedly in 3.3.0
-
Bug #20324: (1..).overlap?('foo'..) returns true
-
Bug #20085: Fiber.new{ }.resume causes Segmentation fault for Ruby 3.3.0 on aarch64-linux
- aarch64-linux 環境で
Fiber.new{ }.resume
が segv するバグ修正 - macOS 環境で困っていた人が多い印象
- aarch64-linux 環境で
-
Bug #20094: Inline while loop behavior changed unexpectedly in 3.3.0
上記であげた以外ではメモリリークや YJIT 周りの修正が多そうですかね?
詳しくは Release 3.3.1 を参照してください。
Discussion