CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性

Ruby の標準添付ライブラリである lib/shell.rb の Shell#[] および Shell#test にコード挿入脆弱性が発見されました。この脆弱性は、CVE-2019-16255 として登録されています。

詳細

lib/shell.rb で定義されている Shell#[] およびその別名 Shell#test において、第一引数(”command”引数)に信頼できないデータを与えていた場合にコード挿入が可能でした。攻撃者はこれを悪用することで任意のRubyメソッドを呼び出すことができます。

一般に、信頼できないデータをShellのメソッドに渡すことは危険なので、ユーザはそういうことをしてはなりません。今回のケースを脆弱性として扱うのは、Shell#[] と Shell#test はファイル検査目的と考えられるためです。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

  • Ruby 2.3 以前のすべてのリリース
  • Ruby 2.4.7 以前のすべての Ruby 2.4 系列
  • Ruby 2.5.6 以前のすべての Ruby 2.5 系列
  • Ruby 2.6.4 以前のすべての Ruby 2.6 系列
  • Ruby 2.7.0-preview1

クレジット

この脆弱性情報は、ooooooo_q 氏によって報告されました。

更新履歴

  • 2019-10-01 20:00:00 (JST) 初版