BT

InfoQ ホームページ ニュース Rubyインタプリタの脆弱性

Rubyインタプリタの脆弱性

ブックマーク
セキュリティに関する勧告が発せられ、Ruby 1.8.xおよびRuby 1.9における深刻な脆弱性について警告している(source)
Rubyにおける複数の脆弱性は、サービス妨害攻撃(DoS)の状態につながったり、任意のコードを実行したりする可能性がある。 [..]
影響を受けるバージョンは、以下のとおりである。
1.8シリーズ
 * 1.8.4およびそれ以前のすべてのバージョン
 * 1.8.5-p230およびそれ以前のすべてのバージョン
 * 1.8.6-p229およびそれ以前のすべてのバージョン
 * 1.8.7-p21およびそれ以前のすべてのバージョン
1.9シリーズ
 * 1.9.0-1およびそれ以前のすべてのバージョン
Jeremy Kemper氏は、Riding Railsブログで以下のように指摘している(source)
Ruby 1.8.4やそれ以前のバージョンを実行している人は、修正目的で1.8.5以降のバージョンにアップグレードする必要がある。1.8.5-7は、修正の最新パッチレベルリリースを利用することができる。 (注:Ruby 1.8.7は、後方互換性がなく、Rails 2.1以降のみと互換性があるので、やり過ぎには注意する必要がある。)

問題点は、Apple Product SecurityのDrew Yao氏によって発見された。

アップグレードすることを勧めるが、アップグレードすることで、アプリケーションを破壊することがないようにしたい。Jeremy氏のブログの投稿コメントやRubyInsideの脆弱性についての記事が指摘しているのは、1.8.6の修正版である1.8.6-p230へアップグレードした場合に、起こり得る互換性や安定性の問題である(source)

脆弱性について詳しくは、ローカルで問題を複製する方法を説明し、Ruby SVNリポジトリの変化を示している(source)「Updates on Drew Yao’s Terrible Ruby Vulnerabilities」(source)を参照のこと。

脆弱性は1.8.xおよび1.9.xのネイティブコードで確認されたので、JRubyのようなその他の実装には影響を及ぼさない。

原文はこちらです:http://www.infoq.com/news/2008/06/ruby-vulnerabilities

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。