任意のコードが実行される脆弱性について

信頼できない入力がRubyプログラムの入力として与えられた場合に、DoS攻撃を受け たり、任意のコードが実行される脆弱性が発見されました。

影響

攻撃者に以下の脆弱性を利用されることにより、DoS攻撃を受けたり、任意のコード が実行される危険性があります。

脆弱性の存在するバージョン

1.8系
  • 1.8.4以前の全てのバージョン
  • 1.8.5-p230以前の全てのバージョン
  • 1.8.6-p229以前の全てのバージョン
  • 1.8.7-p21以前の全てのバージョン
1.9系
  • 1.9.0-1以前の全てのバージョン

各バージョンでの対応方法

各バージョンでの対応方法を以下に記載します。

1.8系
1.8.5-p231または1.8.6-p230・1.8.7-p22に更新してください。
1.9系
1.9.0-2に更新してください。

これらのバージョンでは、CVE-2008-1891のWEBrickの脆弱性も同時に修正しています。

Rubyのパッケージを配布している各ベンダから、この脆弱性を修正 した版のパッケージが提供されている場合もあります。詳細につい ては各ベンダにお問い合わせください。

クレジット

この脆弱性はApple Product SecurityのDrew Yao氏によりRuby Security Teamに報告されました。

変更履歴

  • 2008-06-21 00:32 +09:00 誤ったCVE ID(CVE-2008-2727・CVE-2008-2728)を削除しました。