BT

Rubyインタプリタの脆弱性

| 作者: Werner Schuster フォローする 7 人のフォロワー , 翻訳者 編集部 フォローする 0 人のフォロワー 投稿日 2008年6月25日. 推定読書時間: 2 分 |
セキュリティに関する勧告が発せられ、Ruby 1.8.xおよびRuby 1.9における深刻な脆弱性について警告している(source)
Rubyにおける複数の脆弱性は、サービス妨害攻撃(DoS)の状態につながったり、任意のコードを実行したりする可能性がある。 [..]
影響を受けるバージョンは、以下のとおりである。
1.8シリーズ
 * 1.8.4およびそれ以前のすべてのバージョン
 * 1.8.5-p230およびそれ以前のすべてのバージョン
 * 1.8.6-p229およびそれ以前のすべてのバージョン
 * 1.8.7-p21およびそれ以前のすべてのバージョン
1.9シリーズ
 * 1.9.0-1およびそれ以前のすべてのバージョン
Jeremy Kemper氏は、Riding Railsブログで以下のように指摘している(source)
Ruby 1.8.4やそれ以前のバージョンを実行している人は、修正目的で1.8.5以降のバージョンにアップグレードする必要がある。1.8.5-7は、修正の最新パッチレベルリリースを利用することができる。 (注:Ruby 1.8.7は、後方互換性がなく、Rails 2.1以降のみと互換性があるので、やり過ぎには注意する必要がある。)

問題点は、Apple Product SecurityのDrew Yao氏によって発見された。

アップグレードすることを勧めるが、アップグレードすることで、アプリケーションを破壊することがないようにしたい。Jeremy氏のブログの投稿コメントやRubyInsideの脆弱性についての記事が指摘しているのは、1.8.6の修正版である1.8.6-p230へアップグレードした場合に、起こり得る互換性や安定性の問題である(source)

脆弱性について詳しくは、ローカルで問題を複製する方法を説明し、Ruby SVNリポジトリの変化を示している(source)「Updates on Drew Yao’s Terrible Ruby Vulnerabilities」(source)を参照のこと。

脆弱性は1.8.xおよび1.9.xのネイティブコードで確認されたので、JRubyのようなその他の実装には影響を及ぼさない。

原文はこちらです:http://www.infoq.com/news/2008/06/ruby-vulnerabilities

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT