「Ruby on Rails」に複数の脆弱性、対策を呼びかけ(JVN)

2013年1月9日(水) 18時12分
このエントリーをはてなブックマークに追加
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月9日、「Ruby on Rails」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは「Ruby on Rails 3.2.11 より前の 3.2 系」「Ruby on Rails 3.1.10 より前の 3.1 系」「Ruby on Rails 3.0.19 より前の 3.0 系」「Ruby on Rails 2.3.15 より前の 2.3 系」。

上記Ruby on RailsのAction Packには、パラメータ解析処理に複数の脆弱性(CVE-2013-0156)が存在する。この脆弱性が悪用されると、リモートの攻撃者によって認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されるなどの影響を受ける可能性がある。JVNでは、最新版へのアップデートや対応するパッチの適用を呼びかけている。なお、「XMLの解析処理を無効にする」「XMLの解析処理において、YAMLおよびSymbolのサポートを無効にする」「YAMLの解析処理を無効にする」といったことで、本脆弱性の影響を軽減することが可能としている。
《吉澤 亨史》
  • メールマガジン Scan PREMIUM のご購入

    ・重要なおしらせ:2つのメルマガを2015年6月1日に統合しました

    ・2015年5月1日以降にお申し込みいただいた方は「有料メルマガ読者様へのおしらせ」に記載した
    「【4-d】配信期間は半年または一年延長します」、および、「5. 料金は値上しますが、現会員は
    現料金を生涯据え置きます」の各項目の対象となりません


    ・バックナンバー閲覧請求は、決済画面にある「売り手への特別な指示を追加」欄にURLをご記載下さい
    ・申込時の、PayPal登録メールアドレスと、メルマガ配信希望アドレスが異なる場合は、決済画面にある
    「売り手への特別な指示を追加」欄にメールアドレスをご記載下さい
    ・個人ライセンスの領収書は発行しません
    ・銀行振込は銀行振り込みによる商品購入専用ページからお申し込み下さい
    その他お問合せ


    メールマガジン Scan PREMIUM 【個人】 年間購読ライセンス [14,400円(税抜)]
    利用規約及び個人情報の取り扱いについて同意のうえご購入下さい

    メールマガジン Scan PREMIUM 【法人】 年間購読ライセンス [144,000円(税抜)]
    利用規約及び個人情報の取り扱いについて同意のうえご購入下さい


  • 【PR】
  • 【PR】

注目ニュース

icon

IPAおよびJPCERT/CCは、Microsoftが提供するWebブラウザ「Internet Explorer」に解放済みメモリ使用(use-after-free)の脆弱性が存在すると「JVN」で発表した。

icon

IPAおよびJPCERT/CCは、コンクリートファイブジャパンが提供するオープンソースのCMSである「concrete5」にクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。

icon

IPAおよびJPCERT/CCは、NHN Japanが提供するスマートフォン向けの位置情報を記録するアプリケーションである「Android版ロケタッチ」に複数の脆弱性が存在すると「JVN」で発表した。

icon

IPAおよびJPCERT/CCは、Opera Softwareが提供するAndroid版「Opera Mini Webブラウザ」および「Opera Mobile Webブラウザ」に脆弱性が存在すると「JVN」で発表した。

icon

IPAおよびJPCERT/CCは、Huawei Technologiesが提供するモバイルルータ「Huawei E585 Pocket WiFi 2」に複数の脆弱性が存在すると「JVN」で発表した。

RSS

特集・連載

ピックアップフォト