<div dir="auto"><div>FWIW, in Ubuntu, we had a similar issue trying to fix this CVE in ruby2.7, and in the end we reverted the fix:<div dir="auto"><br></div><div dir="auto"><a href="https://launchpad.net/ubuntu/+source/ruby2.7/2.7.0-5ubuntu1.10">https://launchpad.net/ubuntu/+source/ruby2.7/2.7.0-5ubuntu1.10</a></div><div dir="auto"><br></div>Lucas Kanashiro.<br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qua., 7 de jun. de 2023 07:47, Utkarsh Gupta <<a href="mailto:guptautkarsh2102@gmail.com">guptautkarsh2102@gmail.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hiya,<br>
<br>
On Wed, Jun 7, 2023 at 2:39 PM Moritz Muehlenhoff <<a href="mailto:jmm@inutil.org" target="_blank" rel="noreferrer">jmm@inutil.org</a>> wrote:<br>
> Specifically <a href="https://www.ruby-lang.org/en/news/2023/03/28/redos-in-uri-cve-2023-28755/" rel="noreferrer noreferrer" target="_blank">https://www.ruby-lang.org/en/news/2023/03/28/redos-in-uri-cve-2023-28755/</a><br>
> states:<br>
><br>
> | For Ruby 2.7: Update to uri 0.10.0.1<br>
> | For Ruby 3.0: Update to uri 0.10.2<br>
> | For Ruby 3.1: Update to uri 0.11.1<br>
> | For Ruby 3.2: Update to uri 0.12.1<br>
><br>
> And the 0.10 change (<a href="https://github.com/ruby/uri/commit/17861a53e499a2eabf7ba83d63914d0f01921d70" rel="noreferrer noreferrer" target="_blank">https://github.com/ruby/uri/commit/17861a53e499a2eabf7ba83d63914d0f01921d70</a>)<br>
> is different from the 0.12 one (<a href="https://github.com/ruby/uri/commit/eaf89cc31619d49e67c64d0b58ea9dc38892d175" rel="noreferrer noreferrer" target="_blank">https://github.com/ruby/uri/commit/eaf89cc31619d49e67c64d0b58ea9dc38892d175</a>)<br>
><br>
> There might be other changes needed for 2.5, not sure.<br>
<br>
Yep, I'm taking a look to prep something for 2.5.<br>
<br>
<br>
- u<br>
<br>
</blockquote></div></div></div>