RDoc における jQuery の脆弱性について

Ruby の標準添付ライブラリである RDoc に含まれる jQuery においてクロスサイトスクリプティング(XSS)の脆弱性が発見されました。 全ての Ruby ユーザーは、この問題が修正された RDoc をバンドルする最新バージョンに更新することが推奨されます。

詳細

以下の脆弱性が報告されています。

この問題の影響を受けるバージョンの Ruby のユーザーは、最新の Ruby に更新するか、下記の回避策を取ってください。 また、問題を完全に修正するためには、既に生成されている RDoc ドキュメントを再生成する必要があります。

影響を受けるバージョン

  • Ruby 2.3 系列の全てのリリース
  • Ruby 2.4.6 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.5 以前の全ての Ruby 2.5 系列
  • Ruby 2.6.3 以前の全ての Ruby 2.6 系列
  • commit f308ab2131ee675000926540cbb8c13c91dc3be5 より前の開発版

更新後に実施すべき対応について

なお、RDoc は静的ドキュメント生成ツールです。 したがって、RDoc 自体を修正しても、既に生成済みの HTML ドキュメントの脆弱性は解消されません。 これらの HTML ドキュメントを公開している場合は、以上いずれかの対策を行った上で、該当の HTML ドキュメントを再生成してください。

回避策

原則としては、Ruby 自体を最新のリリースに更新してください。それができない場合は、以下のコマンドを実行することにより、RDoc を最新版 (6.1.2 以降) に更新することによって、各脆弱性が修正されます。ただし、上記の通り生成されたドキュメントの再生成も必要です。

gem install rdoc -f

注意: 当初この記事で一部 rdoc-6.1.1.gem と書かれていましたが、これは脆弱なバージョンでした。rdoc-6.1.2 以降を使用してください。

開発版については、master ブランチの最新 (HEAD) に更新してください。

クレジット

この脆弱性情報は、Chris Seaton 氏によって報告されました。

更新履歴

  • 2019-08-28 18:00:00 (JST) 初版
  • 2019-08-28 20:50:00 (JST) RDoc のバージョン修正
  • 2019-08-28 21:30:00 (JST) いくつか表現の修正