公開日:2006/07/11 最終更新日:2006/07/11

JVN#83768862
Ruby において、alias 機能の問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性

概要


Ruby 言語には、信頼できないオブジェクトの操作を制限するセキュリティモデルのひとつとして「セーフレベル」が存在しています。Ruby の alias 機能に問題があるため、この「セーフレベル」の設定を回避されてしまい、本来実行できないはずのメソッドが実行される脆弱性が確認されています。

影響を受けるシステム

  • Ruby 1.8.4-20060328 以前のスナップショット

    回避策として、Ruby 1.8.4 最新版スナップショットを利用することを推奨します。

詳細情報

想定される影響


プログラムの強制終了を意図せず引き起こされる可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Ruby オブジェクト指向言語Ruby

参考情報

  1. IPA
    「Ruby」において、alias 機能の問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報技術研究部門 田中 哲 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia