Hitach Incident Response Team

 11月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Ruby 1.9.3-p484、Ruby 2.0.0-p353リリース(2013/11/22)

 Ruby 1.9.3-p484、Ruby 2.0.0-p353では、サービス拒否攻撃や任意のコードを許してしまう脆弱性(CVE-2013-4164)を解決しています。この問題は、文字列を浮動小数点数値に変換する際に、ヒープオーバーフローが発生することに起因します。信頼できるサイト以外からのデータ入力が可能な浮動小数点数値に変換するプログラムが、この脆弱性の影響を受けることになります。