BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Rubyインタプリタの脆弱性

Rubyインタプリタの脆弱性

セキュリティに関する勧告が発せられ、Ruby 1.8.xおよびRuby 1.9における深刻な脆弱性について警告している(source)
Rubyにおける複数の脆弱性は、サービス妨害攻撃(DoS)の状態につながったり、任意のコードを実行したりする可能性がある。 [..]
影響を受けるバージョンは、以下のとおりである。
1.8シリーズ
 * 1.8.4およびそれ以前のすべてのバージョン
 * 1.8.5-p230およびそれ以前のすべてのバージョン
 * 1.8.6-p229およびそれ以前のすべてのバージョン
 * 1.8.7-p21およびそれ以前のすべてのバージョン
1.9シリーズ
 * 1.9.0-1およびそれ以前のすべてのバージョン
Jeremy Kemper氏は、Riding Railsブログで以下のように指摘している(source)
Ruby 1.8.4やそれ以前のバージョンを実行している人は、修正目的で1.8.5以降のバージョンにアップグレードする必要がある。1.8.5-7は、修正の最新パッチレベルリリースを利用することができる。 (注:Ruby 1.8.7は、後方互換性がなく、Rails 2.1以降のみと互換性があるので、やり過ぎには注意する必要がある。)

問題点は、Apple Product SecurityのDrew Yao氏によって発見された。

アップグレードすることを勧めるが、アップグレードすることで、アプリケーションを破壊することがないようにしたい。Jeremy氏のブログの投稿コメントやRubyInsideの脆弱性についての記事が指摘しているのは、1.8.6の修正版である1.8.6-p230へアップグレードした場合に、起こり得る互換性や安定性の問題である(source)

脆弱性について詳しくは、ローカルで問題を複製する方法を説明し、Ruby SVNリポジトリの変化を示している(source)「Updates on Drew Yao’s Terrible Ruby Vulnerabilities」(source)を参照のこと。

脆弱性は1.8.xおよび1.9.xのネイティブコードで確認されたので、JRubyのようなその他の実装には影響を及ぼさない。

原文はこちらです:http://www.infoq.com/news/2008/06/ruby-vulnerabilities

この記事に星をつける

おすすめ度
スタイル

BT