Rubyインタプリタの脆弱性

作者 Werner Schuster, 翻訳者 編集部 投稿日 2008年6月25日 午後12時12分

コミュニティ

Ruby

トピック

ランタイム,

Ruby on Rails,

セキュリティ

タグ

Vulnerabilities,

Rails

セキュリティに関する勧告が発せられ、Ruby 1.8.xおよびRuby 1.9における深刻な脆弱性について警告している(source)。

Rubyにおける複数の脆弱性は、サービス妨害攻撃(DoS)の状態につながったり、任意のコードを実行したりする可能性がある。 [..]

影響を受けるバージョンは、以下のとおりである。

1.8シリーズ
 * 1.8.4およびそれ以前のすべてのバージョン
 * 1.8.5-p230およびそれ以前のすべてのバージョン
 * 1.8.6-p229およびそれ以前のすべてのバージョン
 * 1.8.7-p21およびそれ以前のすべてのバージョン
1.9シリーズ
 * 1.9.0-1およびそれ以前のすべてのバージョン

Jeremy Kemper氏は、Riding Railsブログで以下のように指摘している(source)。

Ruby 1.8.4やそれ以前のバージョンを実行している人は、修正目的で1.8.5以降のバージョンにアップグレードする必要がある。1.8.5-7は、修正の最新パッチレベルリリースを利用することができる。 (注：Ruby 1.8.7は、後方互換性がなく、Rails 2.1以降のみと互換性があるので、やり過ぎには注意する必要がある。)

問題点は、Apple Product SecurityのDrew Yao氏によって発見された。

アップグレードすることを勧めるが、アップグレードすることで、アプリケーションを破壊することがないようにしたい。Jeremy氏のブログの投稿コメントやRubyInsideの脆弱性についての記事が指摘しているのは、1.8.6の修正版である1.8.6-ｐ230へアップグレードした場合に、起こり得る互換性や安定性の問題である(source)。

脆弱性について詳しくは、ローカルで問題を複製する方法を説明し、Ruby SVNリポジトリの変化を示している(source)「Updates on Drew Yao’s Terrible Ruby Vulnerabilities」(source)を参照のこと。

脆弱性は1.8.xおよび1.9.xのネイティブコードで確認されたので、JRubyのようなその他の実装には影響を及ぼさない。

原文はこちらです：http://www.infoq.com/news/2008/06/ruby-vulnerabilities

• 次へ >