【活用ガイド】

JVNDB-2013-001019

Ruby on Rails に複数の脆弱性

概要

Ruby on Rails には、複数の脆弱性が存在します。

Ruby on Rails の Action Pack には、パラメータ解析処理に複数の脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 7.5 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的

影響を受けるシステム


Ruby on Rails project
  • Rails 3.2.11 より前の 3.2 系
  • Rails 3.1.10 より前の 3.1 系
  • Rails 3.0.19 より前の 3.0 系
  • Rails 2.3.15 より前の 2.3 系
アップル
  • Apple Mac OS X Server 10.6.8
  • Apple Mac OS X Server v10.7 から v10.7.5
  • Apple Mac OS X Server v2.1.1 未満 (OS X v10.8 以降)
富士通
  • ServerView Resource Coordinator VE Enterprise V2.1.0
  • ServerView Resource Coordinator VE Enterprise V2.1.1
  • ServerView Resource Coordinator VE Enterprise V2.1.2
  • ServerView Resource Coordinator VE Enterprise V2.1.3
  • ServerView Resource Coordinator VE Enterprise V2.2.0
  • ServerView Resource Coordinator VE Enterprise V2.2.2
  • ServerView Resource Coordinator VE Standard V2.1.0
  • ServerView Resource Coordinator VE Standard V2.1.1
  • ServerView Resource Coordinator VE Standard V2.1.2
  • ServerView Resource Coordinator VE Standard V2.1.3
  • ServerView Resource Coordinator VE Standard V2.2.0
  • ServerView Resource Coordinator VE Standard V2.2.2
  • ServerView Resource Orchestrator Cloud Edition V3.0.0
  • ServerView Resource Orchestrator Cloud Edition V3.1.0
  • ServerView Resource Orchestrator Cloud Edition V3.1.1
  • ServerView Resource Orchestrator Express V3.1.0
  • ServerView Resource Orchestrator Express V3.1.1
  • ServerView Resource Orchestrator V2.2.0
  • ServerView Resource Orchestrator V2.2.1
  • ServerView Resource Orchestrator V2.2.2
  • ServerView Resource Orchestrator V2.3.0
  • ServerView Resource Orchestrator Virtual Edition V3.0.0
  • ServerView Resource Orchestrator Virtual Edition V3.1.0
  • ServerView Resource Orchestrator Virtual Edition V3.1.1
  • ServerView Resource Coordinator VE Compact セット V2.1.0
  • ServerView Resource Coordinator VE Compact セット V2.1.1
  • ServerView Resource Coordinator VE Compact セット V2.1.2
  • ServerView Resource Coordinator VE Compact セット V2.1.3
  • ServerView Resource Coordinator VE Compact セット V2.2.0
  • ServerView Resource Coordinator VE Compact セット V2.2.2
  • ServerView Resource Orchestrator Cloud Edition V3.1.0A
  • ServerView Resource Orchestrator Cloud Edition V3.1.1A
  • ServerView Resource Orchestrator Cloud Edition V3.1.2
  • ServerView Resource Orchestrator Express V3.1.0A
  • ServerView Resource Orchestrator Express V3.1.1A
  • ServerView Resource Orchestrator Express V3.1.2
  • ServerView Resource Orchestrator Virtual Edition V3.1.0A
  • ServerView Resource Orchestrator Virtual Edition V3.1.1A
  • ServerView Resource Orchestrator Virtual Edition V3.1.2
  • Systemwalker Resource Coordinator Virtual server Edition 13.3.0

想定される影響

遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意の SQL コマンドが実行されたりするなどの可能性があります。
対策

[アップデートする]
最新版へアップデートしてください。

[パッチを適用する]
対応するパッチを適用してください。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

 * XML の解析処理を無効にする
 * XML の解析処理において、YAML および Symbol のサポートを無効にする
 * YAML の解析処理を無効にする

詳しくは開発者が提供する情報をご確認ください。
https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion
ベンダ情報

Debian Ruby on Rails project アップル レッドハット 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2013-0156
参考情報

  1. JVN : JVNVU#94771138
  2. JVN : JVNVU#90360497
  3. JVN : JVNVU#93436975
  4. National Vulnerability Database (NVD) : CVE-2013-0156
  5. US-CERT Vulnerability Note : VU#380039
  6. US-CERT Vulnerability Note : VU#628463
  7. ICS-CERT ADVISORY : ICSA-13-036-01A
更新履歴

[2013年01月10日]
  掲載
[2013年01月15日]
  CWE による脆弱性タイプ一覧:CWE-ID を追加
[2013年02月05日]
  CVSS による深刻度:基本値と機密性への影響、完全性への影響、可用性への影響を変更
[2013年02月20日]
  ベンダ情報:Debian (DSA-2604) を追加
  ベンダ情報:レッドハット (RHSA-2013:0153) を追加
  ベンダ情報:レッドハット (RHSA-2013:0154) を追加
  ベンダ情報:レッドハット (RHSA-2013:0155) を追加
[2013年03月14日]
  影響を受けるシステム:富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) の情報を追加
  ベンダ情報:富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) を追加
[2013年04月02日]
  影響を受けるシステム:アップル (HT5644) の情報を追加
  影響を受けるシステム:アップル (HT5672) の情報を追加
  ベンダ情報:アップル (HT5644) を追加
  ベンダ情報:アップル (HT5672) を追加
  ベンダ情報:アップル (APPLE-SA-2013-03-14-1) を追加
[2014年03月28日]
  影響を受けるシステム:富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) の内容を更新