From: Yukihiro Matsumoto Date: 2005-09-21T11:09:33+09:00 Subject: [ruby-dev:27251] 脆弱性レポート翻訳者募集 まつもと ゆきひろです 1.8.2以前のRubyには脆弱性があります。これがリリースを急いだ 理由だったりするんですが、このレポートの英訳を手伝ってくださ る方はいらっしゃいませんか。誰もいなきゃ私がやるしかないんで すが。日本語レポートは以下の通りです。 --- セーフレベルの設定が回避可能となる脆弱性 公開日: 2005-09-21 対象バージョン: リリース版(1.8.x) - 1.8.2以前のすべてのバージョン(1.8.3で修正) 過去のリリース版(1.6.x) - 1.6.8以前のすべてのバージョン 開発版(1.9.0) - 2005-09-01版以前のすべて(2005-09-02版で修正) 概要: 対象バージョンのRubyにはセーフレベルによるチェックを回避して任意のコードを 実行できる脆弱性があります。 対策: 各バージョンの本脆弱性への対応は以下の通りです。 リリース版(1.8.x)、開発版(1.9.0) - 最新版にバージョンアップしてください。 本文書の公開時点での最新バージョンは前述の通りです。 過去のリリース版(1.6.x) - この脆弱性に対応したリリースは行いません。1.8系に移行するか、ftpサイトから 最新の1.6版スナップショットを取得してインタプリタをコンパイルし直してくだ さい。 ftp://ftp.ruby-lang.org/pub/ruby/snapshot-1.6.tar.gz ruby-1.6.8.tar.gzからのパッチも用意しました。 ftp://ftp.ruby-lang.org/pub/ruby/1.6/1.6.8-patch1.gz md5sum: 7a97381d61576e68aec94d60bc4cbbab 説明: オブジェクト指向言語Rubyでは、セーフレベルとオジェクトの汚染の二つの機構に よって信頼できないコードを安全に実行するための環境を提供します。 今回、これらの機構によるチェックを回避できる場合がある脆弱性が確認されまし た。 この脆弱性によると、各セーフレベルにおいて規定される許可事項を越えて任意の コードの実行が可能となります。このため、セーフレベルを使用して信頼できない コードを実行するすべてのライブラリやプログラムを使用しているシステムでRuby のバージョンアップが必要となります。 リファレンス: JVN: JVN#98965847 謝辞: セーフレベルの設定が回避可能となる脆弱性は産業技術総合研究所情報セキュリティ 研究センター大岩寛氏によって発見されました。ご報告に感謝いたします。