2005/09/21
笹田　仁＝日経ソフトウエア

記事一覧へ >>

　2005年9月21日，情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンターは，スクリプト言語「Ruby」にセキュリティ・ホールがあることを公表した。今回発覚したのはRubyが備える「セーフ・レベル」というセキュリティ機能に関連するもの。対象バージョンは1.8.2以前。Rubyのサイトでは本日（9月21日）から，この問題を修正した最新バージョン1.8.3を配布している。

　セーフ・レベルとは，Rubyオブジェクトを実行させる条件であり，0〜4のレベルがある。本来，レベル4のオブジェクトは，安全性を保証できないものと判断され，I/O出力や，グローバル変数の変更などの操作ができないようになっているが，今回発覚したセキュリティ・ホールを利用すると，その制限を回避できてしまう。