Ruby - A Programmer's Best Friend |
Ruby 1.9系と1.8系に脆弱性が発見された。修正版がリリースされており、修正されたバージョンへのアップグレードが推奨されている。FileUtils.remove_entry_secureにシンボリックリンク競合条件の脆弱性があり、この脆弱性を利用されるとユーザがローカルファイルシステムの任意のファイルやディレクトリを削除できるようになる。次のバージョンまでがこの脆弱性の影響を受ける。
- Ruby 1.8.6パッチレベル420
- Ruby 1.8.7パッチレベル330
- Ruby 1.8.8開発版
- Ruby 1.9.1パッチレベル430
- Ruby 1.9.2パッチレベル136
- Ruby 1.9.3開発版
もうひとつは$SAFE機構に発見された脆弱性。Exception#to_sメソッドにチェック回避の脆弱性があることがわかり、任意の文字列の変更が可能であることが明らかになった。次のバージョンまでがこの脆弱性の影響を受ける。なお、この脆弱性は1.9系には存在しない。
- Ruby 1.8.6パッチレベル420
- Ruby 1.8.7パッチレベル330
- Ruby 1.8.8開発版
これら脆弱性に対処するため、ユーザや開発者には対応済みのバージョンへのアップグレードが推奨されている。