JVNDB-2013-004797

Ruby で使用される RubyGems の lib/rubygems/version.rb におけるサービス運用妨害 (DoS) の脆弱性

Ruby で使用される RubyGems の lib/rubygems/version.rb 内の Gem::Version::ANCHORED_VERSION_PATTERN には、アルゴリズムの複雑性により、サービス運用妨害 (CPU 資源の消費) 状態にされる脆弱性が存在します。

本問題は、CVE-2013-4287 の修正が不完全だったことによる問題です。

Ruby-lang.org

• Ruby 1.9.0 から 2.0.0p247

RubyGems

• RubyGems 1.8.23.2 未満
• RubyGems 1.8.24 から 1.8.26
• RubyGems 2.0.10 未満の 2.0.x
• RubyGems 2.1.5 未満の 2.1.x

第三者により、正規表現の大量のバックトラッキングを誘発する巧妙に細工された gem バージョンを介して、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

RubyGems

• RubyGems.org : CVE-2013-4287 Algorithmic complexity vulnerability in RubyGems 2.1.4 and older

オラクル

• SECURITY BLOG : Multiple Cryptographic Issues vulnerabilities in Ruby
• SECURITY BLOG : Multiple vulnerabilities in Ruby
• SECURITY BLOG : Multiple Cryptographic Issues vulnerabilities in RubyGems

レッドハット

• Red Hat Bugzilla : Bug 1009720

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2013-4363

1. National Vulnerability Database (NVD) : CVE-2013-4363
2. 関連文書 : Re: CVE-2013-4287 Algorithmic complexity vulnerability in RubyGems 2.0.7 and older (2013/09/20)
3. 関連文書 : Re: CVE-2013-4287 Algorithmic complexity vulnerability in RubyGems 2.0.7 and older (2013/09/18)
4. 関連文書 : Re: CVE-2013-4287 Algorithmic complexity vulnerability in RubyGems 2.0.7 and older (2013/09/15)

• [2013年10月21日]
    掲載
  [2014年01月09日]
    ベンダ情報：オラクル (Multiple Cryptographic Issues vulnerabilities in Ruby) を追加
  [2014年03月06日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Ruby) を追加
    ベンダ情報：レッドハット (Bug 1009720) を追加
  [2014年08月11日]
    ベンダ情報：オラクル (Multiple Cryptographic Issues vulnerabilities in RubyGems) を追加