HsbtDiary

■ cgi の新しいバージョンをリリースした

CVE-2021-33621: HTTP response splitting in CGI という脆弱性の報告が来たので

• @mametter が事象を読み解いて CVE 取得やハンドリングを行って
• @n0kada がパッチを作って
• @hsbt がパッチを当てたり、Ruby 2.7-3.1 の差分を全て確認して cgi 0.1.x, 0.2.x, 0.3.x の各バージョンをリリース

という分担で作業をしていた。cgi は Ruby 2.7 から default gems なので、cgi gem だけをリリースすれば、あとは各自で gem install とか Gemfile に追記すれば ok という状況になっていたのは良かったのだけど、Ruby 2.7 の cgi が default gems にしたばかりのバージョンで 0.1.0 というバージョニングにもかかわらず、gem と Ruby 2.7 とで内容が違うというのをやらかしてしまい、昨日今日での差分のチェックがちょっと大変だった。

この辺はじわじわと良くなっていると思うので引き続きって感じで。それにしても Ruby 2.7 とかこの前リリースしたばかり、のはずなのに CI がとにかく通らないみたいな感じで辛い。無限に毎日手入れするなりしないとなあ。