Ruby on Railsに複数の脆弱性……認証が回避される可能性

Ruby on Railsに複数の脆弱性……認証が回避される可能性

2013年1月9日(水) 17時57分
このエントリーをはてなブックマークに追加
JPCERT/CCによる脆弱性分析結果の画像
JPCERT/CCによる脆弱性分析結果
「rubyonrails.org」トップページの画像
「rubyonrails.org」トップページ
 IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は9日、「Ruby on Railsに複数の脆弱性」を、脆弱性対策情報ポータルサイト「JVN」において公表した。

 今回公開された「JVNVU#94771138」によると、Ruby on RailsのAction Packに、パラメータ解析処理に複数の脆弱性が存在するとのこと。これにより、遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されたりするなどの可能性があるという。

 該当するシステムは、Ruby on Rails 3.2.11より前の3.2系、Ruby on Rails 3.1.10より前の3.1系、Ruby on Rails 3.0.19より前の3.0系、Ruby on Rails 2.3.15より前の2.3系。最新版へのアップデートまたはパッチを適用することで、脆弱性は解消される。
《冨岡晶》
  • ・【PR】
  • ・【PR】
  • ・【PR】
注目の情報[PR]

編集部のおすすめニュース

2012年の「セキュリティ十大ニュース」、JNSA発表……標的型のサイバー攻撃が増加

 日本ネットワークセキュリティ協会(JNSA)は26日、「JNSA 2012 セキュリティ十大ニュース」を発表した。

未対応のIE脆弱性を狙う「Watering Hole」型攻撃

 トレンドマイクロは、「Watering Hole」型攻撃についてブログで詳細を発表した。

「Internet Explorer」に任意のコードが実行される

 IPAおよびJPCERT/CCは、Microsoftが提供するWebブラウザ「Internet Explorer」に解放済みメモリ使用(use-after-free)の脆弱性が存在すると「JVN」で発表した。

 日本IBMは、Tokyo SOC Reportとして「2012年のインターネット脅威概括」を発表した。最も注目を集めた記事は、3月22日に掲載された「Javaの脆弱性(CVE-2012-0507)を悪用する攻撃の増加を確認」であった。

クラウド型ネットワーク脆弱性診断サービスを中国国内向けに開始 KCCS

 KCCSは、同社の子会社である京瓷信息系統(上海)有限公司が、クラウド型ネットワーク脆弱性診断サービス「nCircle PureCloud オンデマンド」を提供開始する。

特集

RSS

【これから開催のイベント】

特集・連載

ブロードバンド/無線LANスポット検索

ブロードバンド検索
-