ruby-langの最新ニュース

Rubyに複数の脆弱性

Fri, 08 Aug 2008 02:59:40 GMT

Rubyに複数の脆弱性が発見されました。最新バージョンへのアップグレードを推奨します。

詳細

以下のような脆弱性が発見されました。

セーフレベルの脆弱性

セーフレベルにいくつかの脆弱性が発見されました。

untrace_varがセーフレベル4で実行可能です。

trace_var(:$VAR) {|val| puts "$VAR = #{val}" }

Thread.new do
 $SAFE = 4
 eval %q{
   proc = untrace_var :$VAR
   proc.first.call("aaa")
 }
end.join

$PROGRAM_NAMEがセーフレベル4で変更可能です。

Thread.new do
 $SAFE = 4
 eval %q{$PROGRAM_NAME.replace "Hello, World!"}
end.join

$PROGRAM_NAME #=> "Hello, World!"

安全でないメソッドがセーフレベル1〜3で呼び出される可能性があります。

class Hello
 def world
   Thread.new do
     $SAFE = 4
     msg = "Hello, World!"
     def msg.size
       self.replace self*10 # replace string
       1 # return wrong size
     end
     msg
   end.value
 end
end

$SAFE = 1 # or 2, or 3
s = Hello.new.world
if s.kind_of?(String)
 puts s if s.size < 20 # print string which size is less than 20
end

Syslogの操作がセーフレベル4で実行可能です。

require "syslog"

Syslog.open

Thread.new do
 $SAFE = 4
 eval %q{
   Syslog.log(Syslog::LOG_WARNING, "Hello, World!")
   Syslog.mask = Syslog::LOG_UPTO(Syslog::LOG_EMERG)
   Syslog.info("masked")
   Syslog.close
 }
end.join

これらの脆弱性は山口慶太さんによって報告されました。

WEBrickのDoS脆弱性

WEBrick::HTTP::DefaultFileHandlerには、 WEBrick::HTTPUtils.split_header_valueの正規表現のバックトラックのため、リクエストの処理に指数関数的時間を要する欠陥があります。

攻撃可能なサーバの例:

require 'webrick'
WEBrick::HTTPServer.new(:Port => 2000, :DocumentRoot => "/etc").start

攻撃の例:

require 'net/http'
res = Net::HTTP.start("localhost", 2000) { |http|
  req = Net::HTTP::Get.new("/passwd")
  req['If-None-Match'] = %q{meh=""} + %q{foo="bar" } * 100
  http.request(req)
}
p res

このリクエストの処理は実質的には終了しません。

この脆弱性はChristian Neukirchenさんによって報告されました。

dlの汚染チェックの欠如

dlはオブジェクトの汚染フラグをチェックしないため、攻撃者に危険な関数の実行を許してしまう可能性があります。

require 'dl'
$SAFE = 1
h = DL.dlopen(nil)
sys = h.sym('system', 'IP')
uname = 'uname -rs'.taint
sys[uname]

この脆弱性はsheepmanさんによって報告されました。

resolv.rbのDNSスプーフィング脆弱性

resolv.rbには、リモートの攻撃者が偽造したDNS問い合わせの返答の受け入れを許す脆弱性があります。この危険性は問い合わせのトランザクションID とソースポートのランダム化により低減できますが、resolv.rb ではどちらも行っていません。修正により、それらのランダム化を行うようになります。

参考: CVE-2008-1447

この脆弱性は田中哲さんによって報告されました。

脆弱性の存在するバージョン

1.8系

1.8.5以前の全てのバージョン
1.8.6-p285以前の全てのバージョン
1.8.7-p70以前の全てのバージョン

1.9系

r18423以前の全てのリビジョン

各バージョンでの対応方法

各バージョンでの対応方法を以下に記載します。

1.8系

1.8.6-p286または1.8.7-p71に更新してください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p286.tar.gz>

(md5: 797ea136fe43e4286c9362ee4516674e,
sha256: 1774de918b156c360843c1b68690f5f57532ee48ff079d4d05c51dace8d523ed,
size: 4590373)

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p71.tar.gz>

(md5: 721741d1e0785a0b6b9fb07d55184908,
sha256: 30ec4298e9ac186a2fe1a94362919ba805538252b707f3aadae1938429269c1a,
size: 4805478)

1.9 series

Subversionで最新版をチェックアウトしてください。

$ svn co http://svn.ruby-lang.org/repos/ruby/trunk ruby

Rubyのパッケージを配布している各ベンダから、この脆弱性を修正した版のパッケージが提供されている場合もあります。詳細については各ベンダにお問い合わせください。

クレジット

これらの脆弱性は山口慶太さん・Christian Neukirchenさん・sheepmanさん・田中哲さんにより Ruby Security Teamに報告されました。

変更履歴

2007-08-08 12:24 +09:00 ruby 1.9のリビジョン番号を修正しました。

任意のコードが実行される脆弱性について

Fri, 20 Jun 2008 12:54:52 GMT

信頼できない入力がRubyプログラムの入力として与えられた場合に、DoS攻撃を受けたり、任意のコードが実行される脆弱性が発見されました。

影響

攻撃者に以下の脆弱性を利用されることにより、DoS攻撃を受けたり、任意のコードが実行される危険性があります。

脆弱性の存在するバージョン

1.8系

1.8.4以前の全てのバージョン
1.8.5-p230以前の全てのバージョン
1.8.6-p229以前の全てのバージョン
1.8.7-p21以前の全てのバージョン

1.9系

1.9.0-1以前の全てのバージョン

各バージョンでの対応方法

各バージョンでの対応方法を以下に記載します。

1.8系

1.8.5-p231または1.8.6-p230・1.8.7-p22に更新してください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)

1.9系

1.9.0-2に更新してください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)

これらのバージョンでは、CVE-2008-1891のWEBrickの脆弱性も同時に修正しています。

クレジット

この脆弱性はApple Product SecurityのDrew Yao氏によりRuby Security Teamに報告されました。

変更履歴

2008-06-21 00:32 +09:00 誤ったCVE ID(CVE-2008-2727・CVE-2008-2728)を削除しました。

Ruby 1.8.7-p17 リリース

Fri, 13 Jun 2008 05:16:32 GMT

先日リリースされたRuby 1.8.7のアップデートである、Ruby 1.8.7-p17がリリースされました。(リリースについてのアナウンス:[ruby-list:45021])

ソースファイルは以下のURLから入手できます。

Ruby 1.8.7-p17

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p17.tar.bz2>

(md5: 4bbcf952fad200f4d265cb77a123d2fc,
 sha256: f205c586764ffbd944b4ec6439bd08286e3e7b27bc9448e74949e76c63f6016b,
 size: 4114057)

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p17.tar.gz>

(md5: 5b4bf50111d037aab6ea9ce1ad54e6ed,
 sha256: f0b1f4eeeffb8a4a5c9f10ec657f55e5ccbfc85583f546131a0d4d70cfbb317d,
 size: 4803589)

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p17.zip>

(md5: 19255930b0e955c2287bf940db35ca38,
 sha256: 58639c0d444782f3af9e45f90ff8b4d8047032b12e87d82fbcd4c608e43030d8,
 size: 5879852)

今回のリリースは、Ruby 1.8.7のリリース後に見つかった問題の修正を目的としており、安定性と互換性が向上しています。 1.8.7 リリースを導入された方にはアップグレードを推奨します。

変更点のリストは同梱の NEWS または ChangeLog を参照してください。以下のURLでも閲覧できます。

Ruby 1.8.7 リリース!

Sun, 01 Jun 2008 01:45:10 GMT

Ruby 1.8.7がリリースされました。 (リリースについてのアナウンス:[ruby-list:44986])

ソースコードは以下のURLから入手できます。 3種類のフォーマットから選んでください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7.tar.bz2>
- md5: f17f14c8d55e731b3ce1bc35c42f0a6c
- sha256: 65f2a862ba5e88bac7a78cff15bcb88d7534e741b51a1ffb79a0136c7041359a
- size: 4100024
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7.tar.gz>
- md5: de906850f9a012c12ffc6e9f56fb1b66
- sha256: 600dccf13bca3e4179fa6ff554220ce4ba67ffc72bce1ac3bf74c2599c03a0ca
- size: 4799732
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7.zip>
- md5: 14d3eb37b32e4a26966bdd80f361ccd2
- sha256: 805987ad167d8f9cac90e4b9342686e96a7708664111be27a3c6d680ce21d6c1
- size: 5851408

　1.8.6 との互換性情報を含む変更点のリストは、同梱の NEWS および ChangeLog を参照してください。以下のURLでも閲覧できます。

なお、本リリースからは、新たにRubySpecを活用しての互換性の検証も行われています。

今後、 1.8.8 の開発とは別に「ruby_1_8_7」ブランチで致命的な不具合とセキュリティ脆弱性の修正に絞った保守が行われ、都度パッチリリースが公開されます。1.8.7 へのアップグレード後はそちらのチェックもお願いします。

Ruby 1.8.7-preview4 公開とリリース前最後のプレビューのお願い

Tue, 27 May 2008 02:24:15 GMT

[ruby-dev:34848]にて、MUSHAさんより、 ruby 1.8.7 preview4 を公開したとのアナウンスと、リリース前の最後のプレビューのお願いがありました。

ソースコードは以下のURLから入手可能です。

チェックサムは以下のとおりです。

MD5 (ruby-1.8.7-preview4.tar.bz2) = f2093521a67983dd42776efc70fc0905
SHA256 (ruby-1.8.7-preview4.tar.bz2) = 9f81d584a5b1bda92d933c48a336edd0ce6818eaa3a4e95cab59a73c85a7b285
SIZE (ruby-1.8.7-preview4.tar.bz2) = 4098091
MD5 (ruby-1.8.7-preview4.tar.gz) = b983608947fac9a044ad8e6ee5c32479
SHA256 (ruby-1.8.7-preview4.tar.gz) = 9e45e09ae12e0bc0c89be20c588f26b0fdddf9f1bdb2d2b59ecedfbb7f1cec3c
SIZE (ruby-1.8.7-preview4.tar.gz) = 4795826
MD5 (ruby-1.8.7-preview4.zip) = 3c208e6f99cf7be80ed2e56a44fff337
SHA256 (ruby-1.8.7-preview4.zip) = 27cf4c38c2ff9ae6045f7eefcf5164a30a69b1042af64cf729dc180363e629f8
SIZE (ruby-1.8.7-preview4.zip) = 5897462

1.8.7での変更点は、以下のページを参考にしてください。

何か問題点等を見つけられた方は、ruby-dev MLか、下記のBTSの方まで、お早めにご連絡ください。

<URL:http://rubyforge.org/tracker/?atid=22040&group_id=426&func=browse>

なお、すでに報告済みで対応中の場合や、解決済みの場合もありますので、報告前に「Status」を「Any」にし、全件表示をしてチェックしていただけると余計な作業が減ります。ご協力ください。

[ruby-dev:34848]によれば、正式リリースは今月中になる予定です。不具合を修正する最後の機会になりますので、ご協力よろしくお願いします。

サーバメンテナンス

Thu, 22 May 2008 09:40:45 GMT

ruby-lang.orgのSVN以外のサービスは、サーバメンテナンスのため、日本時間の2008年5月23日 11:00にしばらく停止します。ご迷惑をおかけしますが、ご協力をお願いします。

日本Ruby会議2008チケット発売開始

Sat, 10 May 2008 08:54:18 GMT

5月10日より日本Ruby会議2008のチケットの発売が開始されました。

日本Ruby会議は、日本でのRubyに関する単独のイベントとしては最大規模のものであり、今年は6月20日、21日、22日の3日間にわたり、つくば国際会議場にて開催されます。今回は会場も大ホールと多目的ホールに分かれ、昨年以上の規模で行う予定です（チケットが必要となるのは大ホールでの企画で、多目的ホールへの入場はチケット不要です）。

より詳しい情報は日本Ruby会議2008のサイトをご覧ください。みなさまの参加を心よりお待ちしております。

Ruby 1.8.7-preview2 公開

Sat, 26 Apr 2008 04:16:06 GMT

[ruby-dev:34462]にて、MUSHAさんより、 ruby 1.8.7 preview2 を公開したとのアナウンスがありました。

ソースコードは以下のURLから入手可能です。

チェックサムは以下のとおりです。

MD5 (ruby-1.8.7-preview2.tar.bz2) = aea3c408133a4a292198afa4b6b73af4
SHA256 (ruby-1.8.7-preview2.tar.bz2) = d02c1d22bff5c8365aa4adb25387950c0b58206a18cb18afcc4f2bd9401997e5
SIZE (ruby-1.8.7-preview2.tar.bz2) = 4013909
MD5 (ruby-1.8.7-preview2.tar.gz) = 776ca41fbc0b5c8d83c184cc79c3b622
SHA256 (ruby-1.8.7-preview2.tar.gz) = e969a88f91b26033e32f103e2db352d34a604c826789a1eb748fcb971fc9f602
SIZE (ruby-1.8.7-preview2.tar.gz) = 4714063
MD5 (ruby-1.8.7-preview2.zip) = b70c39942184101f6f3a9cd1eb245a12
SHA256 (ruby-1.8.7-preview2.zip) = 719ab45df2ca80bebf6e5e722778126f648e41a114d0d055a07837bb6fe55ee5
SIZE (ruby-1.8.7-preview2.zip) = 5797584

1.8.7での変更点は、以下のページを参考にしてください。

何か問題点等を見つけられた方は、ruby-dev MLか、下記のBTSの方まで、お早めにご連絡ください。よろしくお願いします。

<URL:http://rubyforge.org/tracker/?atid=22040&group_id=426&func=browse>

WEBrickの非公開ファイルにアクセスされる脆弱性について

Mon, 03 Mar 2008 15:00:36 GMT

Rubyに標準で添付されているWEBrickライブラリにおいて、このライブラリに含まれるローカルファイルシステム上のファイル (およびディレクトリ)を公開する機能を使用した場合に、公開を意図していないリソースにアクセスが可能となる問題が発見されました。

特に、Windowsでこの機能を利用した場合には、ディレクトリトラバーサルにより、プロセスの権限で読み取り可能な任意のファイルに対するアクセスが可能となります。

影響

この脆弱性は以下の状況で発生します。

WEBrick::HTTPServer.newの引数として、 :DocumentRootを指定してファイルを公開する場合
WEBrick::HTTPServlet::FileHandlerサーブレットを利用してファイルを公開する場合

この脆弱性は以下の環境で発生します。

パスの区切り文字としてバックスラッシュを使用できるシステム(Windowsなど)
ファイルにアクセスする際にパス名の大文字と小文字を区別しないファイルシステム(WindowsのNTFSやMacOSXのHFSなど) を利用しているシステム

この脆弱性により以下のような影響があります。

以下のようにURLにエンコードされたバックスラッシュ(\)を含めることにより、公開対象のディレクトリ以外のファイルにアクセスされる恐れがあります。これはWindowsのようにパスの区切り文字としてバックスラッシュを使用するシステムに限ります。

例:
```
http://[server]:[port]/..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/boot.ini
```
FileHandlerの設定項目の:NondisclosureName で指定されたパターン(デフォルト値は[".ht*", "*~"]) にマッチするファイルにアクセスされる恐れがあります。これは大文字・小文字を区別しないファイルシステムを利用している場合に限ります。

脆弱性の存在するバージョン

1.8系

1.8.4以前の全てのバージョン
1.8.5-p114以前の全てのバージョン
1.8.6-p113以前の全てのバージョン

1.9系

1.9.0-1以前の全てのバージョン

各バージョンでの対応方法

各バージョンでの対応方法を以下に記載します。

1.8系

1.8.5-p115または1.8.6-p114に更新してください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p115.tar.gz> (md5sum: 20ca6cc87eb077296806412feaac0356)
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p114.tar.gz> (md5sum: 500a9f11613d6c8ab6dcf12bec1b3ed3)

1.9系

以下のパッチを適用してください。

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-1-webrick-vulnerability-fix.diff> (md5sum: b7b58aed40fa1609a67f53cfd3a13257)

クレジット

この脆弱性はDigital Security Research Group (http://dsec.ru/)により Ruby Security Teamに報告されました。

Ruby 1.9.0-1 スナップショット公開

Sat, 01 Mar 2008 09:05:18 GMT

[ruby-dev:33947]にて、まつもとさんより、ruby 1.9.0-1を公開したとのアナウンスがありました。

MD5 sumの値は以下になります。

※再パッケージが行われたため、当初の公開時とはmd5 sumの値が異なっています。恐れ入りますがご了承ください。

4344e18188bbdf3e5f19cdd3ade902bb ruby-1.9.0-1.tar.bz2 90b721dce088f455df914c9482508601 ruby-1.9.0-1.tar.gz 8e89b49e473ac1c209e3c73a6fd6610f ruby-1.9.0-1.zip

なお、1.9.0は安定版ではなく開発版という位置づけであり、1.9.0-1は何かしらのリリース版というよりも、3月1日時点でのスナップショットになります。1.9.0にあったバグの中には、修正されたものもあれば、修正されていないものもあります。もしまだ修正されていないバグを見つけた場合は、ぜひご連絡ください。

2008/03/02 00:16 追記: 当初公開されたファイルはパッケージに問題があり、再パッケージングが行われています([ruby-dev:33951])。3/1の23時以前に取得された方は、お手数ですが再度取得をしなおし、md5 sumを確認してからご利用ください。ご迷惑をおかけしてしまい大変申し訳ありませんが、よろしくお願いいたします。