2016.06.26(日)

「Ruby on Rails」に複数の脆弱性、対策を呼びかけ(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月9日、「Ruby on Rails」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは「Ruby on Rails 3.2.11 より前の 3.2 系」「Ruby on Rails 3.1.10 より前の 3.1 系」「Ruby on Rails 3.0.19 より前の 3.0 系」「Ruby on Rails 2.3.15 より前の 2.3 系」。

上記Ruby on RailsのAction Packには、パラメータ解析処理に複数の脆弱性(CVE-2013-0156)が存在する。この脆弱性が悪用されると、リモートの攻撃者によって認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されるなどの影響を受ける可能性がある。JVNでは、最新版へのアップデートや対応するパッチの適用を呼びかけている。なお、「XMLの解析処理を無効にする」「XMLの解析処理において、YAMLおよびSymbolのサポートを無効にする」「YAMLの解析処理を無効にする」といったことで、本脆弱性の影響を軽減することが可能としている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

    OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

  2. 「ウイルスが検出されました」と日本語の音声で警告する偽サイトを確認(トレンドマイクロ)

    「ウイルスが検出されました」と日本語の音声で警告する偽サイトを確認(トレンドマイクロ)

  3. Docker APIやH.323 プロトコルのポートに対するアクセスが増加(警察庁)

    Docker APIやH.323 プロトコルのポートに対するアクセスが増加(警察庁)

  4. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性

  5. Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)

  6. サイバー犯罪者、Facebook でカード情報販売 ~ 中国・ロシア・ブラジル 国別特徴を視覚化(EMCジャパン)

  7. 「ntpd」に複数の脆弱性、アップデートを呼びかけ(JVN)

  8. GoogleアカウントIDを盗み出す日本語アプリに注意(マカフィー)

  9. ZTE製ケーブルモデム「F460/F660」に認証なしでアクセスされる問題(JVN)

  10. Microsoft Windows の afd.sys ドライバに起因するメモリ領域の二重解放の脆弱性(Scan Tech Report)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×