今回の脆弱性の概要(IPAの情報から引用)
今回の脆弱性の概要(IPAの情報から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は12月4日,オブジェクト指向スクリプト言語「Ruby」の標準ライブラリ「cgi.rb」にDoS(サービス妨害)攻撃を受ける脆弱性(セキュリティ・ホール)が見つかったことを明らかにした。cgi.rbを利用しているサーバーに特定のリクエストが送信されると,サーバーが正常に動作しなくなる恐れがある。対策は,脆弱性を修正したバージョンにアップグレードすること。

 cgi.rbは,Webアプリケーションの作成を支援するためのライブラリ。このライブラリには,特定のリクエストを処理する部分に脆弱性が存在する。このため特定のリクエストを送信されると,サーバーのリソース(CPUパワー)を過剰に消費して,サービスを正常に提供できない状態,つまりDoS状態に陥る恐れがあるという。

 1.8系では1.8.5以前のすべてのバージョン(1.8.5を含む),開発版(1.9系)では,2006年12月4日以前にリリースされたすべてのバージョンが影響を受ける。対策は,脆弱性を修正したバージョンへのアップグレード。1.8系では「1.8.5-p2」に,開発版(1.9系)では12月4日以降にリリースされたバージョンにアップグレードする。修正版は,Rubyのサイトなどから入手できる。

 Rubyのパッケージを提供しているベンダーからは,修正版のパッケージがそれぞれ提供されることが予想されるので,ベンダーの情報もチェックしたい。

 なお,cgi.rbには以前にもDoSの脆弱性が見つかっていて,「CVE-2006-5467」として10月23日に登録されている。今回報告された脆弱性は,この「CVE-2006-5467」とは別の脆弱性である。

JPCERT/CCとIPAが共同運営するJVNの情報
IPAの情報