「Ruby on Rails」のアップデート公開、極めて深刻な脆弱性を修正「ただちに」アップグレードを推奨

Webアプリケーション開発フレームワーク「Ruby on Rails」に複数の深刻な脆弱性が見つかり、修正のためのアップデートが公開された。

» 2013年01月10日 16時00分 公開
[鈴木聖子,@IT]

 オープンソースのWebアプリケーション開発フレームワーク「Ruby on Rails」に複数の深刻な脆弱性が見つかり、修正のためのアップデートが公開された。

 セキュリティ担当者が米国時間の1月8日に公開した情報によると、Ruby on Railsの全バージョンに、Action Packのパラメータ解析における複数の脆弱性が存在する。この問題を突かれると、認証システムの迂回、任意のSQLインジェクション、任意のコード実行、Railsアプリケーションに対するサービス妨害(DoS)攻撃などに利用される恐れがある。

 脆弱性修正のためのアップデートとして、バージョン3.2.11、3.1.10、3.0.19、2.3.15が公開された。また、「XMLを完全に無効にする」「XMLの解析処理において、YAMLとSymbolのサポートを無効にする」「YAMLの解析処理を無効にする」などの回避策のほか、直ちにアップデートできないユーザーのためのパッチも用意されている。

 共通脆弱性評価システムCVSSによる深刻度評価は、ベーススコアで最高値の「10.0」と評価されている。Ruby on Railsのセキュリティ担当者は、「脆弱性の深刻度の高さと、一部が既に公開されていることに鑑み、影響を受ける全リリースのユーザーは、『直ちに』アップグレードするか、回避策を適用する必要がある」と呼びかけた。

 なお、現時点でサポート対象となっているのは3.1.x系と3.2.x系のみ。それより前のリリースについては、今後のセキュリティフィックスの提供継続を保証できないとして、できる限り早くアップグレードしてほしいと勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。