公開日:2006/07/11 最終更新日:2006/07/11

JVN#13947696
Ruby において、特定メソッドの問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性

概要


Ruby 言語には、信頼できないオブジェクトの操作を制限するセキュリティモデルのひとつとして「セーフレベル」が存在しています。この「セーフレベル」の設定を回避して、本来呼び出すことのできないメソッドを実行される脆弱性が確認されています。

影響を受けるシステム

  • Ruby 1.8.4-20060516 以前のスナップショット

    回避策として、Ruby 1.8.4 最新版スナップショットを利用することを推奨します。

詳細情報

想定される影響


サーバ・アプリケーションにおいて汚染されていないオブジェクトの状態を、意図せず変更されてしまう可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Ruby オブジェクト指向言語Ruby

参考情報

  1. IPA
    「Ruby」において、特定メソッドの問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報技術研究部門 田中 哲 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia