|
[English]
|
JVNDB-2005-000538
|
Ruby においてセーフレベル 4 がサンドボックスとして機能しない脆弱性
|
|
Ruby 言語には、信頼できないオブジェクトの操作を制限することができるセキュリティ機構(セキュリティモデル)が備わっています。そのセキュリティモデルは、「オブジェクトの汚染」と「セーフレベル」という仕組みによって成り立っています。その「セーフレベル」の設定を回避して、任意のスクリプト実行が可能な脆弱性が確認されています。
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報セキュリティ研究センター 大岩 寛 氏
|
|
|
CVSS v2 による深刻度
基本値: 4.4 (警告) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Ruby-lang.org
- Ruby 1.6.8 およびそれ以前
- Ruby 1.8.2 およびそれ以前
- Ruby 開発版(1.9系) 2005-09-01 およびそれ以前
ミラクル・リナックス
- Asianux Server 3.0
- Asianux Server 3.0 (x86-64)
- Asianux Server 4.0
- Asianux Server 4.0 (x86-64)
レッドハット
- Red Hat Enterprise Linux 2.1 (as)
- Red Hat Enterprise Linux 3 (as)
- Red Hat Enterprise Linux 4 (as)
- Red Hat Enterprise Linux 2.1 (es)
- Red Hat Enterprise Linux 3 (es)
- Red Hat Enterprise Linux 4 (es)
- Red Hat Enterprise Linux 2.1 (ws)
- Red Hat Enterprise Linux 3 (ws)
- Red Hat Enterprise Linux 4 (ws)
|
|
|
任意のスクリプトを実行される可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Ruby-lang.org
ミラクル・リナックス
- MIRACLE LINUX アップデート情報 : 224
レッドハット
|
|
|
|
- CVE-2005-2337
|
|
- JVN : JVN#62914675
- National Vulnerability Database (NVD) : CVE-2005-2337
- US-CERT Vulnerability Note : VU#160012
- IPA セキュリティセンター : JVN_62914675_Ruby
- SecurityFocus : 14909
|
|
|
