公開日:2006/07/11 最終更新日:2006/07/11
JVN#83768862
Ruby において、alias 機能の問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性
Ruby 言語には、信頼できないオブジェクトの操作を制限するセキュリティモデルのひとつとして「セーフレベル」が存在しています。Ruby の alias 機能に問題があるため、この「セーフレベル」の設定を回避されてしまい、本来実行できないはずのメソッドが実行される脆弱性が確認されています。
- Ruby 1.8.4-20060328 以前のスナップショット
回避策として、Ruby 1.8.4 最新版スナップショットを利用することを推奨します。
プログラムの強制終了を意図せず引き起こされる可能性があります。
ベンダ | リンク |
Ruby | オブジェクト指向言語Ruby |
-
IPA
「Ruby」において、alias 機能の問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報技術研究部門 田中 哲 氏
JPCERT 緊急報告 | |
JPCERT REPORT | |
CERT Advisory | |
CPNI Advisory | |
TRnotes | |
CVE | |
JVN iPedia |