Ruby 3.2.2がリリースされました

Ruby 3.2.2がリリースされました

https://www.ruby-lang.org/en/news/2023/03/30/ruby-3-2-2-released/

あわせて旧バージョンも更新されています

リリースノートにある通り、更新内容はいずれも脆弱性対応のセキュリティパッチなので、速やかにアップデートするのを推奨。
今回修正された脆弱性は、ReDoSで、正規表現脆弱性をついて計算量を増大させ、計算リソースを枯渇させる攻撃となっている。

参考: 正規表現の脆弱性「ReDoS」徹底解説 ~原理と対策から、Perlでの最適化まで(1)

正規表現で文字列をパースする処理は一般的なので、具体的にどういった修正をしているのか見てみると、こんな感じ https://github.com/ruby/time/commit/3765d119ca03db067f9cd292752389983e2821eb

ちょっとよくわからないので夜にまた調べてみよう...

余談だが、Ruby 2.7.xは、

After this release, Ruby 2.7 reaches EOL. In other words, this is expected to be the last release of Ruby 2.7 series. We will not release Ruby 2.7.9 even if a security vulnerability is found (but could release if a severe regression is found).

とのこと。これでRuby 2.x系は絶えたことになる。お世話になりました。