独立行政法人 情報処理推進機構(IPA)は7月11日,オープンソースのオブジェクト指向言語Rubyのセキュリティ・ホールを公表した。特定メソッドのおよびalias機能の問題で,Rubyのセキュリティ機能であるセーフレベル4が正常に機能しないというもの。Ruby 1.8.4-20060328以前のスナップショットが影響を受ける。対策は,最新版を利用すること。
セーフレベルとは,Rubyにおいて信頼できないオブジェクトの操作を制限するセキュリティ・モデルのひとつ。今回発見されたセキュリティ・ホールは,このセーフレベル設定を回避されるというもの。
今回公表されたセーフレベルの問題は2種類。ひとつは「JVN#13947696:『Ruby』において、特定メソッドの問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性」で,サーバー・アプリケーションにおいてオブジェクトの状態を意図せず変更されてしまう可能性があるというもの。
もうひとつは「JVN#83768862:Ruby において、alias 機能の問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性」で,意図しないプログラムの強制終了を引き起こされる可能性がある。
ともに,産業技術総合研究所 情報技術研究部門 田中哲氏が発見しIPAに報告した。
◎関連資料
◆JVN#13947696:『Ruby』において、特定メソッドの問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性
◆JVN#83768862:Ruby において、alias 機能の問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性
