メルマガ購読
IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は9日、「Ruby on Railsに複数の脆弱性」を、脆弱性対策情報ポータルサイト「JVN」において公表した。
今回公開された「JVNVU#94771138」によると、Ruby on RailsのAction Packに、パラメータ解析処理に複数の脆弱性が存在するとのこと。これにより、遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されたりするなどの可能性があるという。
該当するシステムは、Ruby on Rails 3.2.11より前の3.2系、Ruby on Rails 3.1.10より前の3.1系、Ruby on Rails 3.0.19より前の3.0系、Ruby on Rails 2.3.15より前の2.3系。最新版へのアップデートまたはパッチを適用することで、脆弱性は解消される。
Ruby on Railsに複数の脆弱性……認証が回避される可能性
2013年1月9日(水) 17時57分
JPCERT/CCによる脆弱性分析結果
「rubyonrails.org」トップページ
《冨岡晶》
- ・【PR】
- ・【PR】
注目の情報[PR]
注目ニュース
日本ネットワークセキュリティ協会(JNSA)は26日、「JNSA 2012 セキュリティ十大ニュース」を発表した。
トレンドマイクロは、「Watering Hole」型攻撃についてブログで詳細を発表した。
IPAおよびJPCERT/CCは、Microsoftが提供するWebブラウザ「Internet Explorer」に解放済みメモリ使用(use-after-free)の脆弱性が存在すると「JVN」で発表した。
日本IBMは、Tokyo SOC Reportとして「2012年のインターネット脅威概括」を発表した。最も注目を集めた記事は、3月22日に掲載された「Javaの脆弱性(CVE-2012-0507)を悪用する攻撃の増加を確認」であった。
KCCSは、同社の子会社である京瓷信息系統(上海)有限公司が、クラウド型ネットワーク脆弱性診断サービス「nCircle PureCloud オンデマンド」を提供開始する。
特集
- ├アイ・システムのプログラム解析・可視化ツール「i-Tool」、VB6.0、C#、VBAに対応
- ├ITでスポーツを楽しく……ヤフー、一般参加も可能なハッカソン開催
- └ミクシィ、テスト版Androidアプリ配信サービス「DeployGate」提供開始
- ├ドコモ、ドコモクラウドのAPIを公開……外部サービスとの連携が可能に
- ├富士通、スマートデバイス向け情報活用ソフト群を発売……開発・実行基盤、データ収集・分析など
- └ミクシィのAndroidアプリ配信サービス「DeployGate」、無料プランを提供開始
- ├Android版「Yahoo!ブラウザー」にアドレスバーを偽装される脆弱性
- ├特定センサへのスキャン急増で、日本が送信元の2位に
- └DNSキャッシュサーバを使用した「DNSアンプ」攻撃が発生中……再帰的な問い合わせを悪用
- ├「Internet Explorer 8」にリモートコード実行のゼロデイ脆弱性
- ├新たな手口の「ワンクリック詐欺アプリ」が出現……IPAが解説
- └Android版「Yahoo!ブラウザー」にアドレスバーを偽装される脆弱性
