JVNDB-2013-004796

Ruby で使用される RubyGems の lib/rubygems/version.rb におけるサービス運用妨害 (DoS) の脆弱性

Ruby で使用される RubyGems の lib/rubygems/version.rb 内の Gem::Version::VERSION_PATTERN には、アルゴリズムの複雑性により、サービス運用妨害 (CPU 資源の消費) 状態にされる脆弱性が存在します。

Ruby-lang.org

• Ruby 1.9.0 から 2.0.0p247

RubyGems

• RubyGems 1.8.23.1 未満
• RubyGems 1.8.24 から 1.8.25
• RubyGems 2.0.8 未満の 2.0.x
• RubyGems 2.1.0 未満の 2.1.x

レッドハット

• Red Hat Enterprise Linux 6 用の Red Hat Software Collections 1

第三者により、正規表現の大量のバックトラッキングを誘発する巧妙に細工された gem バージョンを介して、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

RubyGems

• RubyGems.org : CVE-2013-4287 Algorithmic complexity vulnerability in RubyGems 2.0.7 and older

オラクル

• SECURITY BLOG : Multiple Cryptographic Issues vulnerabilities in Ruby 
• SECURITY BLOG : Multiple vulnerabilities in Ruby
• SECURITY BLOG : Multiple Cryptographic Issues vulnerabilities in RubyGems

レッドハット

• Red Hat Bugzilla : Bug 1002364
• Red Hat Security Advisory : RHSA-2013:1427
• Red Hat Security Advisory : RHSA-2013:1441
• Red Hat Security Advisory : RHSA-2013:1523
• Red Hat Security Advisory : RHSA-2013:1852
• Red Hat Security Advisory : RHSA-2014:0207

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2013-4287

1. National Vulnerability Database (NVD) : CVE-2013-4287
2. 関連文書 : CVE-2013-4287 Algorithmic complexity vulnerability in RubyGems 2.0.7 and older

• [2013年10月21日]
    掲載
  [2013年11月12日]
    ベンダ情報：レッドハット (RHSA-2013:1441) を追加
  [2013年12月26日]
    ベンダ情報：レッドハット (RHSA-2013:1523) を追加
    参考情報：関連文書 (CVE-2013-4287 Algorithmic complexity vulnerability in RubyGems 2.0.7 and older) を追加
  [2014年01月08日]
    ベンダ情報：オラクル (Multiple Cryptographic Issues vulnerabilities in Ruby) を追加
  [2014年03月06日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Ruby) を追加
    ベンダ情報：レッドハット (Bug 1002364) を追加
    ベンダ情報：レッドハット (RHSA-2013:1852) を追加
    ベンダ情報：レッドハット (RHSA-2014:0207) を追加
  [2014年08月11日]
    ベンダ情報：オラクル (Multiple Cryptographic Issues vulnerabilities in RubyGems) を追加