CVE-2024-27281: RDoc 内の .rdoc_options におけるRCE 脆弱性
Posted by hsbt on 21 Mar 2024
Translated by nacl-ando
RCE 脆弱性に対するセキュリティ修正を含む RDoc gem 6.3.4.1、 6.4.1.1、 6.5.1.1 および 6.6.3.1 をリリースしました。 この脆弱性は、 CVE-2024-27281 として登録されています。
詳細
Ruby 3.3.0 以下の Ruby 3.x 系で配布されている.RDoc 6.3.3 から6.6.2 に問題が見つかりました。
RDoc の設定に使用される.rdoc_options ファイルを YAML 形式として解析する際に、復元可能なクラスに制限がないため、オブジェクトインジェクション及びそれに伴うリモートコード実行が可能です。
ドキュメントのキャッシュをロードする際に細工されたキャッシュがあった場合にも、オブジェクトインジェクション及びそれに伴うリモートコード実行が可能です。
推奨する対応
RDoc gem を 6.6.3.1 以上にアップデートすることを推奨します。古い系列の Ruby で同梱されているバージョンとの互換性を確保するためには、以下のようにアップデートできます:
- Ruby 3.0:
rdocを 6.3.4.1 にアップデート - Ruby 3.1:
rdocを 6.4.1.1 にアップデート - Ruby 3.2:
rdocを 6.5.1.1 にアップデート
gem update rdoc でアップデートできます。もし bundler を使っている場合は、 Gemfile に gem "rdoc", ">= 6.6.3.1" を追加してください。
注意: 6.3.4、 6.4.1、 6.5.1 及び 6.6.3 は不正な修正が含まれます。6.3.4.1、 6.4.1.1、 6.5.1.1 または 6.6.3.1 への修正を推奨します。
影響を受けるバージョン
- Ruby 3.0.6 以前
- Ruby 3.1.4 以前
- Ruby 3.2.3 以前
- Ruby 3.3.0
- RDoc gem 6.3.3 以前、修正されたバージョン (6.3.4、 6.4.1、 6.5.1) を除く 6.4.0 から6.6.2
クレジット
この問題は ooooooo_q によって報告されました。
更新履歴
- 2024-03-21 13:00:00 (JST) 初版
最近のニュース
Ruby 4.0.0 リリース
Ruby 4.0.0 が公開されました。 Ruby 4.0 には “Ruby Box”、”ZJIT” ほか多数の改善が含まれています。
Posted by naruse on 25 Dec 2025
サイトのアイデンティティの再設計
サイトの包括的なデザインのアップデートを発表できることを嬉しく思います。今回の更新ではTaeko Akatsukaさんにデザインを担当していただきました。
Posted by Hiroshi SHIBATA on 22 Dec 2025
Ruby 4.0.0 preview3 リリース
Ruby 4.0.0-preview3 が公開されました。
Posted by naruse on 18 Dec 2025
Ruby 4.0.0 preview2 リリース
Ruby 4.0.0-preview2 が公開されました。Ruby 4.0では、Unicodeバージョンの17.0.0へのアップデートなど様々な改善が行われています。
Posted by naruse on 17 Nov 2025