Rubyの添付ライブラリに脆弱性、公式サイトが修正版をリリース
プログラミング言語「Ruby」の添付ライブラリ「WEBrick」に、端末エミュレータの攻撃に悪用されるおそれのある脆弱性がみつかり、Ruby公式サイトは2010年1月10日、最新修正版「Ruby 1.8.7 patchlevel 249」「Ruby 1.9.1 patchlevel 378」を公開した。WEBrickプロセスを更新するまでは、WEBrickのログを閲覧しないよう呼びかけている。
WEBrickは、シンプルなHTTP Webサーバ機能を提供するライブラリ。みつかった脆弱性は、エスケープシーケンスがフィルタリングできずログに挿入されてしまうというもので、外部の攻撃者がWEBrickのログにエスケープシーケンスを挿入して、端末エミュレータを攻撃できるという。
エスケープシーケンスは、端末と内部プロセスとの間のやりとりに利用されており、ネットワーク入力のような信頼されてない情報源から発行されることは想定されていなかった。
影響の範囲は、Ruby 1.8.6 patchlevel 383以前、1.8.7 patchlevel 248以前、1.9.1 patchlevel 376以前のすべてのバージョンおよび1.8開発版(1.8.8dev)、1.9開発版(1.9.2dev)。公式サイトでは、Ruby 1.8.7/1.9.1利用者に更新を推奨しているほか、開発版についても各ブランチの最新リビジョンに更新するよう求めている。
WEBrickにエスケープシーケンス挿入の脆弱性
http://www.ruby-lang.org/ja/news/2010/01/10/webrick-escape-sequence-injection/
Ruby公式サイト
http://www.ruby-lang.org/