「Ruby on Rails」に複数の脆弱性、対策を呼びかけ(JVN)

2013年1月9日(水) 18時12分
このエントリーをはてなブックマークに追加
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月9日、「Ruby on Rails」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは「Ruby on Rails 3.2.11 より前の 3.2 系」「Ruby on Rails 3.1.10 より前の 3.1 系」「Ruby on Rails 3.0.19 より前の 3.0 系」「Ruby on Rails 2.3.15 より前の 2.3 系」。

上記Ruby on RailsのAction Packには、パラメータ解析処理に複数の脆弱性(CVE-2013-0156)が存在する。この脆弱性が悪用されると、リモートの攻撃者によって認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されるなどの影響を受ける可能性がある。JVNでは、最新版へのアップデートや対応するパッチの適用を呼びかけている。なお、「XMLの解析処理を無効にする」「XMLの解析処理において、YAMLおよびSymbolのサポートを無効にする」「YAMLの解析処理を無効にする」といったことで、本脆弱性の影響を軽減することが可能としている。
《吉澤 亨史》
  • 有料版メールマガジン購入(JPY = 日本円)
    利用規約及び個人情報の取り扱いについて同意のうえご購入下さい


    メールマガジンは2種類あります。
    The Register や、その他特集記事()の全文は「Scan(サンプル[PDF])」をお選び下さい
    Scan Tech Report 全文は「Scan Tech Report(過去取りあげたエクスプロイト)」をお選び下さい
    ・バックナンバー閲覧請求は、決済画面にある「売り手への特別な指示を追加」欄にURLをご記載下さい
    ・個人ライセンスの領収書は発行しません
    ・銀行振込は販売サイトからお申し込み下さい
    その他お問合せ


  • 【PR】
  • 【PR】

注目ニュース

icon

IPAおよびJPCERT/CCは、Microsoftが提供するWebブラウザ「Internet Explorer」に解放済みメモリ使用(use-after-free)の脆弱性が存在すると「JVN」で発表した。

icon

IPAおよびJPCERT/CCは、コンクリートファイブジャパンが提供するオープンソースのCMSである「concrete5」にクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。

icon

IPAおよびJPCERT/CCは、NHN Japanが提供するスマートフォン向けの位置情報を記録するアプリケーションである「Android版ロケタッチ」に複数の脆弱性が存在すると「JVN」で発表した。

icon

IPAおよびJPCERT/CCは、Opera Softwareが提供するAndroid版「Opera Mini Webブラウザ」および「Opera Mobile Webブラウザ」に脆弱性が存在すると「JVN」で発表した。

icon

IPAおよびJPCERT/CCは、Huawei Technologiesが提供するモバイルルータ「Huawei E585 Pocket WiFi 2」に複数の脆弱性が存在すると「JVN」で発表した。

RSS

特集・連載

アクセスランキング

全ニュースを対象にした、直近6時間のアクセスランキングです

ピックアップフォト