Rubyにヒープオーバーフローの脆弱性、修正版をリリース
プログラミング言語「Ruby」にヒープオーバーフローの脆弱性が見つかったことを受け、セキュリティ対策を施した最新修正版「Ruby 1.9.1-p376」が2009年12月7日、オフィシャルサイトで公開された。すべてのRuby 1.9.1ユーザーにアップグレードするよう推奨している。
発見された脆弱性「CVE-2009-4124」は、String#ljust、String#center、String#rjustのヒープオーバーフロー。ある稀なケースで、攻撃者に任意のコード実行を許してしまうという。対象はRuby 1.9.1のすべてのリリースで、1.8系統には影響しない。
同時に公開した最新版のRuby 1.9.1-p376は、1.9.1系統のパッチレベルリリース。CVE-2009-4124脆弱性のほか、100個超のバグ修正を行った。主な修正点は、IRBの拡張コマンド機能や、AIXにおけるビルドエラーなど。
CVE-2009-4124(現時点で情報開示されてない)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4124
Stringのヒープオーバーフロー
http://www.ruby-lang.org/ja/news/2009/12/07/string/
Ruby 1.9.1-p376 リリース
http://www.ruby-lang.org/ja/news/2009/12/07/ruby-1-9-1-p376/
Ruby公式サイト
http://www.ruby-lang.org/