Translate ERV CVE and Ruby 4.0.3 released(zh_cn)

Gao-Jun · Gao-Jun · commit 7cfadc28a217 · 2026-04-25T18:44:17.000+08:00
diff --git a/zh_cn/news/_posts/2026-04-21-erb-cve-2026-41316.md b/zh_cn/news/_posts/2026-04-21-erb-cve-2026-41316.md
@@ -0,0 +1,43 @@
+---
+layout: news_post
+title: "CVE-2026-41316: 通过 def_module / def_method / def_class 绕过 ERB @_init 反序列化保护机制"
+author: "k0kubun"
+translator: "GAO Jun"
+date: 2026-04-21 07:51:00 +0000
+tags: security
+lang: zh_cn
+---
+
+我们发布了关于 CVE-2026-41316 的安全公告。
+
+## CVE-2026-41316: 通过 def_module / def_method / def_class 绕过 ERB @_init 反序列化保护机制"
+
+ERB 中存在一个反序列化漏洞，编号为 [CVE-2026-41316](https://www.cve.org/CVERecord?id=CVE-2026-41316)。我们建议您更新 `erb` gem。
+
+### 影响范围
+
+任意 Ruby 应用，如果在不受信任的数据上调用 `Marshal.load`，并且同时加载了 `erb` 和 `activesupport`，都会存在任意代码执行漏洞。场景包括：
+
+- **Ruby on Rails 应用中导入不受信任的序列化数据** -- 所有使用 `Marshal.load` 进行缓存、数据导入或 IPC 的 Rails 应用 (Rails 应用都加载了 ActiveSupport 和 ERB)
+- **导入不受信任的序列化数据的 Ruby 工具** -- 所有使用 `Marshal.load` 进行缓存、数据导入或 IPC 的工具
+- **遗留 Rails 应用** (7.0之前) 依旧使用 Marshal 来进行 cookie 会话序列化的应用
+
+### 详情
+
+ERB 实现了一种 `@_init` 保护机制，在 ERB 对象通过 `Marshal.load` 处理不受信任代码时，避免执行代码。
+然而，`ERB#def_method`，`ERB#def_module` 和 `ERB#def_class` 在处理模板代码时，会忽略这个保护机制，当攻击者可以控制转递到 `Marshal.load` 的数据时，就能绕过保护并执行任意代码。
+尤其是 `def_module` 方法没有参数，因此很容易被用于构造一个反序列化的调用链。
+
+请更新 `erb` gem 至版本 4.0.3.1，4.0.4.1，6.0.1.1，6.0.4 或后续版本。
+
+### 受影响版本
+
+* erb gem 6.0.3 及之前版本
+
+### 致谢
+
+感谢 [TristanInSec](https://github.com/TristanInSec) 发现此问题。
+
+## 历史
+
+* 初次发布于 2026-04-21 07:51:00 (UTC)
diff --git a/zh_cn/news/_posts/2026-04-21-ruby-4-0-3-released.md b/zh_cn/news/_posts/2026-04-21-ruby-4-0-3-released.md
@@ -0,0 +1,52 @@
+---
+layout: news_post
+title: "Ruby 4.0.3 已发布"
+author: k0kubun
+translator: "GAO Jun"
+date: 2026-04-21 08:45:44 +0000
+lang: zh_cn
+---
+
+Ruby 4.0.3 已发布。
+
+此版本只是更新了 ERB 6.0.1.1，以提供 [CVE-2026-41316](https://www.ruby-lang.org/zh/news/2026/04/21/erb-cve-2026-41316/) 的安全补丁。
+
+如果您的应用在不受信任的数据上调用 `Marshal.load` 并且同时加载了 erb 和 activesupport，请将您的 ERB 更新到 
+4.0.3.1，4.0.4.1，6.0.1.1，6.0.4 或之后版本。您可以使用此次发布的 Ruby 4.0.3 来实现此修复。
+
+## 发布计划
+
+我们计划在每次 **常规** 发布后的 2 个月为最新的 Ruby 稳定版本（目前是 Ruby 4.0）发布更新。
+Ruby 4.0.4 将于五月发布，4.0.5 将于七月发布，4.0.6 将于九月发布，4.0.7 将于十一月发布。
+
+如果存在会影响到大量用户的重大变更，我们也可能会提前发布新版本，后续版本的发布计划也将进行相应调整。
+
+## 下载
+
+{% assign release = site.data.releases | where: "version", "4.0.3" | first %}
+
+* <{{ release.url.gz }}>
+
+      文件大小: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      文件大小: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      文件大小: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 发布说明
+
+许多提交者、开发人员以及用户提供了问题报告，帮助我们完成了此版本。
+感谢他们的贡献。
