概要
Rubyコアチームは2026年3月26日および27日にRuby 3.3.11とRuby 3.2.11をそれぞれリリースした。いずれもバンドルされているzlibジェムに存在するバッファオーバーフロー脆弱性CVE-2026-27820を修正するセキュリティアップデートである。この脆弱性はGzipReaderに関連するもので、メモリ破壊(memory corruption)につながる可能性があり、該当バージョンのユーザーには速やかなアップデートが推奨される。Ruby 3.3.11にはバグフィックスも含まれている。
Ruby 3.3系のサポート移行
Ruby 3.3.11は3.3系の最後の通常メンテナンスリリースとなる。今後1年間(2027年3月まで)はセキュリティパッチおよびクリティカルなビルド問題の修正のみがバックポートされる制限付きサポートフェーズに移行し、2027年3月をもって公式サポートが終了する。
Ruby 3.2系のサポート終了
Ruby 3.2.11は3.2系の最終リリースであり、今後セキュリティ修正を含むいかなるアップデートも提供されない。Ruby 3.2は2022年12月の初回リリースから3年以上にわたりサポートが継続されてきたが、今回のリリースをもって正式にサポートが終了した。
今後の対応
Rubyコアチームは両リリースのアナウンスにおいて、ユーザーに対しRuby 3.4または4.0への移行計画を早期に開始するよう呼びかけている。特にRuby 3.2系を利用しているプロジェクトは、セキュリティサポートが完全に終了したため、早急なアップグレードが必要となる。