Ruby - A Programmer's Best Friend |
Rubyコミュニティは11月13日、Ruby 2.1系、2.0系、1.9系のそれぞれ最新版となる「Ruby 2.1.5」「Ruby 2.0.0-p598 」「Ruby 1.9.3-p551」の公開を開始した。今回のバージョンはREXMLで発見されたDoSの脆弱性を修正するもの。同様の問題は以前のバージョンにも存在していたが、今回修正された問題はそれとはまた異なるものだと説明されている。それぞれの最新版は以下のページからダウンロード可能。
この脆弱性を悪用された場合、細工されたXMLデータを読み込ませることで動作しているマシンのメモリを消費し続け、最終的にDoS攻撃につなげることができる。詳しい説明は「CVE-2014-8090: Another Denial of Service XML Expansion」にまとめられている。該当するソフトウェアを利用している場合には、最新版へアップデートすることが推奨される。