CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性
Posted by mame on 1 Oct 2019
Ruby の標準添付ライブラリである lib/shell.rb の Shell#[] および Shell#test にコード挿入脆弱性が発見されました。この脆弱性は、CVE-2019-16255 として登録されています。
詳細
lib/shell.rb で定義されている Shell#[] およびその別名 Shell#test において、第一引数(”command”引数)に信頼できないデータを与えていた場合にコード挿入が可能でした。攻撃者はこれを悪用することで任意のRubyメソッドを呼び出すことができます。
一般に、信頼できないデータをShellのメソッドに渡すことは危険なので、ユーザはそういうことをしてはなりません。今回のケースを脆弱性として扱うのは、Shell#[] と Shell#test はファイル検査目的と考えられるためです。
この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。
影響を受けるバージョン
- Ruby 2.3 以前のすべてのリリース
- Ruby 2.4.7 以前のすべての Ruby 2.4 系列
- Ruby 2.5.6 以前のすべての Ruby 2.5 系列
- Ruby 2.6.4 以前のすべての Ruby 2.6 系列
- Ruby 2.7.0-preview1
クレジット
この脆弱性情報は、ooooooo_q 氏によって報告されました。
更新履歴
- 2019-10-01 20:00:00 (JST) 初版
最近のニュース
Ruby 4.0.2 リリース
Ruby 4.0.2 がリリースされました。
Posted by k0kubun on 16 Mar 2026
Ruby 3.4.9 リリース
Ruby 3.4.9 がリリースされました。
Posted by nagachika on 11 Mar 2026
関西Ruby会議09の参加登録が開始されました
日本Rubyの会が後援する、地域Ruby会議(RegionalRubyKaigi)の1つである関西Ruby会議09の参加登録が開始されました。
Posted by Yudai Takada(@ydah) on 3 Mar 2026
Ruby 4.0.0 リリース
Ruby 4.0.0 が公開されました。 Ruby 4.0 には “Ruby Box”、”ZJIT” ほか多数の改善が含まれています。
Posted by naruse on 25 Dec 2025