Ruby on Railsに複数の脆弱性……認証が回避される可能性

エンタープライズ セキュリティ

JPCERT/CCによる脆弱性分析結果
  • JPCERT/CCによる脆弱性分析結果
  • 「rubyonrails.org」トップページ
 IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は9日、「Ruby on Railsに複数の脆弱性」を、脆弱性対策情報ポータルサイト「JVN」において公表した。

 今回公開された「JVNVU#94771138」によると、Ruby on RailsのAction Packに、パラメータ解析処理に複数の脆弱性が存在するとのこと。これにより、遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されたりするなどの可能性があるという。

 該当するシステムは、Ruby on Rails 3.2.11より前の3.2系、Ruby on Rails 3.1.10より前の3.1系、Ruby on Rails 3.0.19より前の3.0系、Ruby on Rails 2.3.15より前の2.3系。最新版へのアップデートまたはパッチを適用することで、脆弱性は解消される。
《冨岡晶》

編集部おすすめの記事

特集

page top

人気ニュースランキングや特集をお届け…メルマガ会員はこちら