「Ruby on Rails」のアップデート公開、極めて深刻な脆弱性を修正:「ただちに」アップグレードを推奨
Webアプリケーション開発フレームワーク「Ruby on Rails」に複数の深刻な脆弱性が見つかり、修正のためのアップデートが公開された。
オープンソースのWebアプリケーション開発フレームワーク「Ruby on Rails」に複数の深刻な脆弱性が見つかり、修正のためのアップデートが公開された。
セキュリティ担当者が米国時間の1月8日に公開した情報によると、Ruby on Railsの全バージョンに、Action Packのパラメータ解析における複数の脆弱性が存在する。この問題を突かれると、認証システムの迂回、任意のSQLインジェクション、任意のコード実行、Railsアプリケーションに対するサービス妨害(DoS)攻撃などに利用される恐れがある。
脆弱性修正のためのアップデートとして、バージョン3.2.11、3.1.10、3.0.19、2.3.15が公開された。また、「XMLを完全に無効にする」「XMLの解析処理において、YAMLとSymbolのサポートを無効にする」「YAMLの解析処理を無効にする」などの回避策のほか、直ちにアップデートできないユーザーのためのパッチも用意されている。
共通脆弱性評価システムCVSSによる深刻度評価は、ベーススコアで最高値の「10.0」と評価されている。Ruby on Railsのセキュリティ担当者は、「脆弱性の深刻度の高さと、一部が既に公開されていることに鑑み、影響を受ける全リリースのユーザーは、『直ちに』アップグレードするか、回避策を適用する必要がある」と呼びかけた。
なお、現時点でサポート対象となっているのは3.1.x系と3.2.x系のみ。それより前のリリースについては、今後のセキュリティフィックスの提供継続を保証できないとして、できる限り早くアップグレードしてほしいと勧告している。
関連記事
- 秒読み段階の「Ruby on Rails 3」登場の意味
- “Railsという現象”とコミュニティの性質
- 2006年「Ruby on Rails」が愛された理由
- かんたんAjax開発をするためのRuby on Railsの基礎知識
- Javaから見たRuby on Rails
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.