公開日:2006/07/11 最終更新日:2006/07/11
JVN#13947696
Ruby において、特定メソッドの問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性
Ruby 言語には、信頼できないオブジェクトの操作を制限するセキュリティモデルのひとつとして「セーフレベル」が存在しています。この「セーフレベル」の設定を回避して、本来呼び出すことのできないメソッドを実行される脆弱性が確認されています。
- Ruby 1.8.4-20060516 以前のスナップショット
回避策として、Ruby 1.8.4 最新版スナップショットを利用することを推奨します。
サーバ・アプリケーションにおいて汚染されていないオブジェクトの状態を、意図せず変更されてしまう可能性があります。
ベンダ | リンク |
Ruby | オブジェクト指向言語Ruby |
-
IPA
「Ruby」において、特定メソッドの問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報技術研究部門 田中 哲 氏
JPCERT 緊急報告 | |
JPCERT REPORT | |
CERT Advisory | |
CPNI Advisory | |
TRnotes | |
CVE | |
JVN iPedia |