JVNDB-2013-002207

Ruby の REXML パーサ の lib/rexml/text.rb におけるサービス運用妨害 (DoS) の脆弱性

Ruby の REXML パーサ の lib/rexml/text.rb には、サービス運用妨害 (メモリ消費およびクラッシュ) 状態となる脆弱性が存在します。

Ruby-lang.org

• Ruby 1.9.3 patchlevel 392 およびそれ以前
• Ruby 2.0.0 patchlevel 0 およびそれ以前
• Ruby 開発版 (trunk) revision 39384 およびそれ以前

第三者により、XML ドキュメント内の巧妙に細工されたテキストノードを介して、サービス運用妨害 (メモリ消費およびクラッシュ) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1780-1

Debian

• Debian Bug report logs : #702525 - ruby1.9.1: CVE-2013-1821: entity expansion DoS vulnerability in REXML

openSUSE project

• opensuse-updates : openSUSE-SU-2013:0614
• opensuse-updates : openSUSE-SU-2013:0603

Ruby-lang.org

• Ruby : Entity expansion DoS vulnerability in REXML (XML bomb, CVE-2013-1821)
• Ruby : REXML におけるエンティティ展開に伴うサービス不能攻撃について (CVE-2013-1821)
• ruby-lang : Revision 39384

オラクル

• Oracle Technology Network : Oracle Solaris Third Party Bulletin - July 2015

レッドハット

• Red Hat Bugzilla : Bug 914716
• Red Hat Bugzilla : Bug 914726
• Red Hat Security Advisory : RHSA-2013:0611
• Red Hat Security Advisory : RHSA-2013:0612
• Red Hat Security Advisory : RHSA-2013:1147
• Red Hat Security Advisory : RHSA-2013:1028
• Red Hat Security Advisory : RHSA-2013:1185 

1. 不適切な入力確認(CWE-20) [NVD評価]

1. CVE-2013-1821

1. National Vulnerability Database (NVD) : CVE-2013-1821
2. 関連文書 : MGASA-2013-0092

• [2013年04月11日]
    掲載
  [2013年05月09日]
    ベンダ情報：レッドハット (RHSA-2013:0612) を追加
  [2013年06月20日]
    ベンダ情報：openSUSE (openSUSE-SU-2013:0603) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2013:0614) を追加
  [2013年08月27日]
    ベンダ情報：レッドハット (RHSA-2013:1147) を追加
  [2014年03月06日]
    ベンダ情報：レッドハット (Bug 914726) を追加
    ベンダ情報：レッドハット (RHSA-2013:1028) を追加
    ベンダ情報：レッドハット (RHSA-2013:1185) を追加
    参考情報：関連文書 (MGASA-2013-0092) を追加
  [2015年08月31日]
    ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - July 2015) を追加