Ruby Security Teamからの情報

セーフレベルの設定が回避可能となる脆弱性


公開日: 2005-09-21


対象バージョン:

リリース版(1.8.x) - 1.8.2以前のすべてのバージョン(1.8.3で修正)
過去のリリース版(1.6.x) - 1.6.8以前のすべてのバージョン
開発版(1.9.0) - 2005-09-01版以前のすべて(2005-09-02版で修正)

概要:

対象バージョンのRubyにはセーフレベルによるチェックを回避して任意のコードを
実行できる脆弱性があります。

対策:

各バージョンの本脆弱性への対応は以下の通りです。

リリース版(1.8.x)、開発版(1.9.0) - 最新版にバージョンアップしてください。
本文書の公開時点での最新バージョンは前述の通りです。

過去のリリース版(1.6.x) -
この脆弱性に対応したリリースは行いません。1.8系に移行するか、ftpサイトから
最新の1.6版スナップショットを取得してインタプリタをコンパイルし直してくだ
さい。

ftp://ftp.ruby-lang.org/pub/ruby/snapshot-1.6.tar.gz

ruby-1.6.8.tar.gzからのパッチも用意しました。

ftp://ftp.ruby-lang.org/pub/ruby/1.6/1.6.8-patch1.gz
md5sum: 7a97381d61576e68aec94d60bc4cbbab

説明:

オブジェクト指向言語Rubyでは、セーフレベルとオジェクトの汚染の二つの機構に
よって信頼できないコードを安全に実行するための環境を提供します。

今回、これらの機構によるチェックを回避できる場合がある脆弱性が確認されまし
た。

この脆弱性によると、各セーフレベルにおいて規定される許可事項を越えて任意の
コードの実行が可能となります。このため、セーフレベルを使用して信頼できない
コードを実行するすべてのライブラリやプログラムを使用しているシステムでRuby
のバージョンアップが必要となります。

リファレンス:

JVN: JVN#98965847 <URL:http://jvn.jp/jp/JVN#98965847/index.html>

謝辞:

セーフレベルの設定が回避可能となる脆弱性は産業技術総合研究所情報セキュリティ
研究センター大岩寛氏によって発見されました。ご報告に感謝いたします。