HsbtDiary
2023/03/30 (木) [長年日記]
■ 九条の大罪(8) を読んだ
ヤクザやアンダーグラウンドの話が中心になっていてウシジマくんのテイストに戻ってきたか?というところから、新しく検事を登場させることで当初のコンセプトに戻してきた印象だった。ヤクザっぽい話は好きなので面白いのだけど、それぞれの目論見とかコンテキストの理解がちょっと難しいので後からもう一度読み返す、って感じになりそう。
■ CVE-2023-28756 の公開と Ruby のリリースをしていた
先日の CVE-2023-28755 に続いて Time.rfc2822 の ReDoS を修正したものを CVE-2023-28756 として修正と公開をした。
CVE-2023-28756: ReDoS vulnerability in Time
そして、CVE-2023-28755 と合わせて2つの修正を含んだ安定版バージョンがすべてリリースされた。
各ブランチメンテナのみなさんお疲れさまでした。CVE-2023-28756 についても Ruby のリリースとは独立して、僕の方でリリース作業をしたかったのだが、time が default gems になったのは Ruby 3.0 以降のため、独立して公開してしまうと Ruby 2.7 がゼロデイ状態になるため泣く泣く CVE の公開と Ruby のリリースを一緒にしたのだった。だから default gems や bundled gems にしようよ、という運動を続けているのだけどなかなか手強い。
また今回のリリースで Ruby 2.7 のメンテナンスは終了かつ、Ruby 3.0 はセキュリティ修正のみのメンテナンスステータスに以降することになったので、Ruby 2.7 を使っている人は Ruby 3.0 以上へのアップグレードを強く推奨です。もしアップデートできないなら、Ubuntu LTS や RHEL のシステムパッケージが提供している Ruby に移行して後は OS ベンダーに頼りましょう。