CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性

Posted by mame on 1 Oct 2019

Ruby の標準添付ライブラリである lib/shell.rb の Shell#[] および Shell#test にコード挿入脆弱性が発見されました。この脆弱性は、CVE-2019-16255 として登録されています。

詳細

lib/shell.rb で定義されている Shell#[] およびその別名 Shell#test において、第一引数（”command”引数）に信頼できないデータを与えていた場合にコード挿入が可能でした。攻撃者はこれを悪用することで任意のRubyメソッドを呼び出すことができます。

一般に、信頼できないデータをShellのメソッドに渡すことは危険なので、ユーザはそういうことをしてはなりません。今回のケースを脆弱性として扱うのは、Shell#[] と Shell#test はファイル検査目的と考えられるためです。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

• Ruby 2.3 以前のすべてのリリース
• Ruby 2.4.7 以前のすべての Ruby 2.4 系列
• Ruby 2.5.6 以前のすべての Ruby 2.5 系列
• Ruby 2.6.4 以前のすべての Ruby 2.6 系列
• Ruby 2.7.0-preview1

クレジット

この脆弱性情報は、ooooooo_q 氏によって報告されました。

更新履歴

• 2019-10-01 20:00:00 (JST) 初版