FAMLog

RubyのURIコンポーネントにReDoS脆弱性（CVE-2023-36617）が見つかり、2023年6月下旬に公開されたuri gem 0.12.2および0.10.3で当該脆弱性が修正されています。

特定の文字を含む無効なURLをURIパーサーが誤って取り扱っており、rfc2396_parser.rbとrfc3986_parser.rbを用いて文字列をURIオブジェクトにパースする際に実行時間が増加していましたが、CVE-2023-28755に対する不完全な修正がこの問題の原因となっていたとのことです。

uri gemを更新することが推奨されており、更新するにはgem update uriを実行します。なお、Bundlerを使用している場合はGemfileにgem "uri", ">= 0.12.2"を追加します（Ruby 3.1および3.2の場合）。

［関連］Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開（FAMLog）